Технологии и техника, интернет небивалици, фън и прочие
Постинги в блога от Март, 2011 г.
28.03.2011 23:01 -
Хакери - Проверка на сигурността на български уеб сайтове - част 3
Ето и една уеб компания, която не обръща особено внимание на сигурността.
На който му се занимава да действа...както и който желае сам ще разбере коя е.
Отново лесен достъп до всички по долу изброени бази данни, както и инфото в тях.
Няма да ми стигне времето да уведомя всички за жалост....
odbuser:103dcb666ac59d78:localhost
e-therapybg.com:76fccd9873766447:localhost
e-therapybg_com:76fccd9873766447:localhost
ianatour:39a461175367530c:localhost
imotifendora:1dce69c7733800ed:localhost
weekpres:1d8695da0b4e3f84:localhost
roundcube:4376cfff435ecd4f:localhost
borey:5dd5c68d34f46071:localhost
bulgaria:4f2162a7161dc07b:localhost
leadersb:0af771547f37eca0:localhost
techwave:63c2b3b104db4f41:localhost
radio:6d6b4bf6293430ec:localhost
biblewor:48d37e5173382352:localhost
tenzor:6b8b89af27bea165:localhost
mmd:1c22d4bd4bb13241:localhost
pove4eforum:1509b3dc13adb701:localhost
userpasat:688f15665b4c56ba:localhost
bodimir:4fd2553a0a48df70:213.130.85.125
rentauto_db:1937f5ea524d6b8f:localhost
global_bg:580ba8f2226ca421:localhost
acet:7605708c130d167e:localhost
boreyart:5a00bbfe51cde1ab:localhost
iicsofia_mysql:141c3a415190c1fe:localhost
til_mysql:441a66100b486124:localhost
europe:1bf28d0d57f3711d:localhost
PRESZONA:1f0f40370c54667a:localhost
tany:3dabaa3545fcfda0:localhost
satirata_mysql:494fb54c7db59440:localhost
Бази данни:
2EMKO
4SEASONS
ABONAMENTI
ADCARE_BG
ADORA
ADORA2
ADS-CONSULT
AIR_VORTEX
ALADINO
ALAUDIO
ALPHAGRISSIN
ALPHASERVICE
ALPINA
AMAZONCA
ANRAD
ANRAD_EU
AQUATICA
ARGOGROUP
ARTBG
ARTDEKO
ASTRA_BG
ATLASCOM_BG
AUDITORIUM
AUTORENT
AVENTURA
AVTOBEDA
AZOLA
BALKANSTROY_COM
BALMAX
BANSKO
BCC
BCNL_SOCIAL
BECLEANY_COM
BETONSTROY
BGHK
BGPROPERTY-MANAGEMENT
BGPROPERTYINVESTMENT
BLAGOTVORITEL
BOHEMIA
BOOKHOUSE_BG
BOREY
BOREYART
BORIMA
BOYMAR
BOYMAR2
BRAINSTORM
BULARCH
BULCOM2000
BULENGINEERING
BULGARIA-GUIDE
BULGARIA-GUIDE_CH
BULGARIAHOLIDAYS
BULGARIAHOLIDAYS_NEW
BULHOUSE
BULPROFOR_ORG
BULSAADV
BURO-RADETSKY_BG
BURZO
CAIXASWEDEN
CG
CHERGA_BG
CLASSICA
CLUBCAMAY_COM
COMPUTEAM
COMPUTEAM_COPY
COMPUTERS
CREDITGROUP
CREDITGROUP_TEST
CREDITGROUP_TEST2
DANTHERM-BG_COM
DEMOKARTA
DEXIA
DIGIHOST
DIGITALSOL_NET
DKER
DODO
DOMOSTROENE
DOTP
EAGLESPARTNERS
EGIDA_SOFIA
ELECTROIMPEX
ELEXIM
EMERALDTR
EMERALDTR2
EMIRO
ENCO_VENDING
ESTERVIL
EUROCARGO_BG
EUROPECOSMETICS_NET
EUROPE_FORUM
EUROPRINT
EVANGELSKIVESTNIK
EVELINAPAPAZOVA_COM
EXTREMUMBG
E_THERAPYBG_COM
FAMOSSO
FEBS
FENDORA_COM
FENERITE_COM
FIRMI
FMA
FORCEDELTA
FORESTRY
FOTOPORTAL
FR5
FRODY
FS
FURNITURE
GAL2
GAZTRADE
GENERALINS
GENOV
GIARDINI_DI_LUKA
GIARDINI_DI_LUKA2
GIARDINI_DI_LUKA_OLD
GLOBAL_BG
GONEWS
GRAWE
GROUP_HSS
HAJTOV
HARISKOVI
HAZELBOOKS
HEDGESTRATEGIES_NET
HERNIA_VITA_BG
HOTELANELI
HOTELBULGARIABANSKO
HOTELKATARINO
HOTELPERUNBANSKO
HOTELSELENA
HRADIO
HRISTIYANSTVOTO
IANATOUR
IANATOUR_PAY
ICQ_CAT
IIC_SOFIA
IMOTI_BALKANSTROY_COM
IMRO
IMRO_BG
IMRO_NEW_TEST
IMRO_TEST
INDUSTRIALSTIL
INFOSOFIA
INTERTRADE-M
INTRACOM
IPN_BG_COM
JDESIGN
JDESIGN_TEST
JELEZAROV
JOBS_ISPERIH
JOM
JTDFURNIR
KAMEIA
KARANA_BG
KERAGLASS
KERANOVA
KOGER
KOLBIS_PSIT
KOLEDA
KROUM
LBS
LBS_CO
LEADERS_BG
LEADERS_BG_2003
LEADERS_BG_2004
LEADERS_BG_2005
LEADERS_BG_2005_MAY
LEADERS_UM
LEADERS_UM_2
LIVEHELP
LUKOIL
LUXURY
LUXURYLIFE
MACMAN_PROJECT
MAINING
MARNIE
MARVET_FTP
MASTERCOOL-BG_COM
MATEKO
MEIK98WINES_COM
METZ
MIROTVOREC
MONTESORI
MOUNTAIN_PARADISE
MRRB
MRRB2
MULTIMAXTRADING
MYEUROPEATSCHOOL
NIKOL
NOVOPOKOLENIE
NSI
NSI_KONF
NSI_PREBROIAVANE
OBIAVI
OBIAVI2
ODANSTRAVEL
ODANSTRAVEL_TEST
ORLINOVA
PARKHOTELPIRIN
PARKINGBG
PASAT_BG
PASAT_BG_NEW
PEAKVIEW
PENSOFT
PERIVOLASBG
PHPCOIN
PHPGRID
PIRINGOLF
PIZZABACI_COM
PLAMENSTOYANOV
POLY96
POOLS
POVE4E_COM
PRAZNIK
PRESZONA
PRILEP-M_COM
PRINTIRAM
PROARCH
PROFILES
PROGNOSYS
RAD
RADCOM
RADIOFRESH
REAL_M
REA_BG
REA_BG_OLD
REFERENDUM
RENTAUTO_BG
RHOLIDAY
ROGARGA
ROSAIMPEX
RUDRAAKSHA
SAAV
SAFOPARTY
SAMSTAG
SAMSTAG_TEXT
SATIRATA
SAVECARD
SCALES
SEECONSULTING
SG_BG
SG_BG_COM
SHARP
SIKO_S
SLANCHOGLEDI
SLATINACENTER_COM
SLATINAFLATS_COM
SNOOPYKIDS_COM
SOFIATHEATRE
SOKSLAVIA
STAREQUIPHOTEL
STUDIO865_ORG
STYBOX
SUNRISEBANKIA
SVEKATERINA
TALONI_BG
TANITA_T
TCON
TECHNOBIOS
TENZOR
TESHEVO
TESTBAZA
THCAUDIO
THEPROJECT
THERMAL_BG
TIL_BG
TOPTRAVELS
TOURCHANCE
TOYEXPOBG
TRIADA
TVARTBG
UHSEK2
UHY
UNICONSULTING_NET
UNIGELBG
UNIMASTERS
UNIVERSCONSULT_COM
UPEEF_EU
VIPNT
VITA
VITAESTETIK
VLADIMIRTOSHEV
VLAET
VMA
VMA_CONGRESS
VMREJA
WEBDESIGN
WEBDESIGN_OLD
WINEBUTIK
YANADEL_COM
YANTRABG
YANTRABG_OLD
ZAMPERLA
ZASTRAHOVATEL
ZEBRA_PAPER
aaa89_FURNITURE
acet
anrad_main
astrabg
atlascom
balkans_piringbg
bcnl
bcnl_forum
bhouses
bhouses_copy
biblewor
bodimir
borima2
bulkor
casadelm_industria
census2011
crm
database
emerald_4
emerald_42
fman
forum_maxima
freshclean_net_fman
geohide
gunsbrokers_db
i_rabota
jen
jru
kolbis
leaders
maxim
milennews
mmdpartners
mnoGoSearch
mnoGoSearch2
murgavets
mysql
novi_theatre
novi_theatre_latin1
novzavet
ojs
olimpia
pensofto_zk
reminders
rents
rogarga_mysql
roundcubemail
sharlopoveu
slaveikov_org
sofia_inside
spadevin
tany
techno
test
theatre
theatre1
tot
veren_org
viaexpo
vt
wbb
week1
yantrabg_2
yantrabg_copy
yes
yes1
yes_shared
На който му се занимава да действа...както и който желае сам ще разбере коя е.
Отново лесен достъп до всички по долу изброени бази данни, както и инфото в тях.
Няма да ми стигне времето да уведомя всички за жалост....
odbuser:103dcb666ac59d78:localhost
e-therapybg.com:76fccd9873766447:localhost
e-therapybg_com:76fccd9873766447:localhost
ianatour:39a461175367530c:localhost
imotifendora:1dce69c7733800ed:localhost
weekpres:1d8695da0b4e3f84:localhost
roundcube:4376cfff435ecd4f:localhost
borey:5dd5c68d34f46071:localhost
bulgaria:4f2162a7161dc07b:localhost
leadersb:0af771547f37eca0:localhost
techwave:63c2b3b104db4f41:localhost
radio:6d6b4bf6293430ec:localhost
biblewor:48d37e5173382352:localhost
tenzor:6b8b89af27bea165:localhost
mmd:1c22d4bd4bb13241:localhost
pove4eforum:1509b3dc13adb701:localhost
userpasat:688f15665b4c56ba:localhost
bodimir:4fd2553a0a48df70:213.130.85.125
rentauto_db:1937f5ea524d6b8f:localhost
global_bg:580ba8f2226ca421:localhost
acet:7605708c130d167e:localhost
boreyart:5a00bbfe51cde1ab:localhost
iicsofia_mysql:141c3a415190c1fe:localhost
til_mysql:441a66100b486124:localhost
europe:1bf28d0d57f3711d:localhost
PRESZONA:1f0f40370c54667a:localhost
tany:3dabaa3545fcfda0:localhost
satirata_mysql:494fb54c7db59440:localhost
Бази данни:
2EMKO
4SEASONS
ABONAMENTI
ADCARE_BG
ADORA
ADORA2
ADS-CONSULT
AIR_VORTEX
ALADINO
ALAUDIO
ALPHAGRISSIN
ALPHASERVICE
ALPINA
AMAZONCA
ANRAD
ANRAD_EU
AQUATICA
ARGOGROUP
ARTBG
ARTDEKO
ASTRA_BG
ATLASCOM_BG
AUDITORIUM
AUTORENT
AVENTURA
AVTOBEDA
AZOLA
BALKANSTROY_COM
BALMAX
BANSKO
BCC
BCNL_SOCIAL
BECLEANY_COM
BETONSTROY
BGHK
BGPROPERTY-MANAGEMENT
BGPROPERTYINVESTMENT
BLAGOTVORITEL
BOHEMIA
BOOKHOUSE_BG
BOREY
BOREYART
BORIMA
BOYMAR
BOYMAR2
BRAINSTORM
BULARCH
BULCOM2000
BULENGINEERING
BULGARIA-GUIDE
BULGARIA-GUIDE_CH
BULGARIAHOLIDAYS
BULGARIAHOLIDAYS_NEW
BULHOUSE
BULPROFOR_ORG
BULSAADV
BURO-RADETSKY_BG
BURZO
CAIXASWEDEN
CG
CHERGA_BG
CLASSICA
CLUBCAMAY_COM
COMPUTEAM
COMPUTEAM_COPY
COMPUTERS
CREDITGROUP
CREDITGROUP_TEST
CREDITGROUP_TEST2
DANTHERM-BG_COM
DEMOKARTA
DEXIA
DIGIHOST
DIGITALSOL_NET
DKER
DODO
DOMOSTROENE
DOTP
EAGLESPARTNERS
EGIDA_SOFIA
ELECTROIMPEX
ELEXIM
EMERALDTR
EMERALDTR2
EMIRO
ENCO_VENDING
ESTERVIL
EUROCARGO_BG
EUROPECOSMETICS_NET
EUROPE_FORUM
EUROPRINT
EVANGELSKIVESTNIK
EVELINAPAPAZOVA_COM
EXTREMUMBG
E_THERAPYBG_COM
FAMOSSO
FEBS
FENDORA_COM
FENERITE_COM
FIRMI
FMA
FORCEDELTA
FORESTRY
FOTOPORTAL
FR5
FRODY
FS
FURNITURE
GAL2
GAZTRADE
GENERALINS
GENOV
GIARDINI_DI_LUKA
GIARDINI_DI_LUKA2
GIARDINI_DI_LUKA_OLD
GLOBAL_BG
GONEWS
GRAWE
GROUP_HSS
HAJTOV
HARISKOVI
HAZELBOOKS
HEDGESTRATEGIES_NET
HERNIA_VITA_BG
HOTELANELI
HOTELBULGARIABANSKO
HOTELKATARINO
HOTELPERUNBANSKO
HOTELSELENA
HRADIO
HRISTIYANSTVOTO
IANATOUR
IANATOUR_PAY
ICQ_CAT
IIC_SOFIA
IMOTI_BALKANSTROY_COM
IMRO
IMRO_BG
IMRO_NEW_TEST
IMRO_TEST
INDUSTRIALSTIL
INFOSOFIA
INTERTRADE-M
INTRACOM
IPN_BG_COM
JDESIGN
JDESIGN_TEST
JELEZAROV
JOBS_ISPERIH
JOM
JTDFURNIR
KAMEIA
KARANA_BG
KERAGLASS
KERANOVA
KOGER
KOLBIS_PSIT
KOLEDA
KROUM
LBS
LBS_CO
LEADERS_BG
LEADERS_BG_2003
LEADERS_BG_2004
LEADERS_BG_2005
LEADERS_BG_2005_MAY
LEADERS_UM
LEADERS_UM_2
LIVEHELP
LUKOIL
LUXURY
LUXURYLIFE
MACMAN_PROJECT
MAINING
MARNIE
MARVET_FTP
MASTERCOOL-BG_COM
MATEKO
MEIK98WINES_COM
METZ
MIROTVOREC
MONTESORI
MOUNTAIN_PARADISE
MRRB
MRRB2
MULTIMAXTRADING
MYEUROPEATSCHOOL
NIKOL
NOVOPOKOLENIE
NSI
NSI_KONF
NSI_PREBROIAVANE
OBIAVI
OBIAVI2
ODANSTRAVEL
ODANSTRAVEL_TEST
ORLINOVA
PARKHOTELPIRIN
PARKINGBG
PASAT_BG
PASAT_BG_NEW
PEAKVIEW
PENSOFT
PERIVOLASBG
PHPCOIN
PHPGRID
PIRINGOLF
PIZZABACI_COM
PLAMENSTOYANOV
POLY96
POOLS
POVE4E_COM
PRAZNIK
PRESZONA
PRILEP-M_COM
PRINTIRAM
PROARCH
PROFILES
PROGNOSYS
RAD
RADCOM
RADIOFRESH
REAL_M
REA_BG
REA_BG_OLD
REFERENDUM
RENTAUTO_BG
RHOLIDAY
ROGARGA
ROSAIMPEX
RUDRAAKSHA
SAAV
SAFOPARTY
SAMSTAG
SAMSTAG_TEXT
SATIRATA
SAVECARD
SCALES
SEECONSULTING
SG_BG
SG_BG_COM
SHARP
SIKO_S
SLANCHOGLEDI
SLATINACENTER_COM
SLATINAFLATS_COM
SNOOPYKIDS_COM
SOFIATHEATRE
SOKSLAVIA
STAREQUIPHOTEL
STUDIO865_ORG
STYBOX
SUNRISEBANKIA
SVEKATERINA
TALONI_BG
TANITA_T
TCON
TECHNOBIOS
TENZOR
TESHEVO
TESTBAZA
THCAUDIO
THEPROJECT
THERMAL_BG
TIL_BG
TOPTRAVELS
TOURCHANCE
TOYEXPOBG
TRIADA
TVARTBG
UHSEK2
UHY
UNICONSULTING_NET
UNIGELBG
UNIMASTERS
UNIVERSCONSULT_COM
UPEEF_EU
VIPNT
VITA
VITAESTETIK
VLADIMIRTOSHEV
VLAET
VMA
VMA_CONGRESS
VMREJA
WEBDESIGN
WEBDESIGN_OLD
WINEBUTIK
YANADEL_COM
YANTRABG
YANTRABG_OLD
ZAMPERLA
ZASTRAHOVATEL
ZEBRA_PAPER
aaa89_FURNITURE
acet
anrad_main
astrabg
atlascom
balkans_piringbg
bcnl
bcnl_forum
bhouses
bhouses_copy
biblewor
bodimir
borima2
bulkor
casadelm_industria
census2011
crm
database
emerald_4
emerald_42
fman
forum_maxima
freshclean_net_fman
geohide
gunsbrokers_db
i_rabota
jen
jru
kolbis
leaders
maxim
milennews
mmdpartners
mnoGoSearch
mnoGoSearch2
murgavets
mysql
novi_theatre
novi_theatre_latin1
novzavet
ojs
olimpia
pensofto_zk
reminders
rents
rogarga_mysql
roundcubemail
sharlopoveu
slaveikov_org
sofia_inside
spadevin
tany
techno
test
theatre
theatre1
tot
veren_org
viaexpo
vt
wbb
week1
yantrabg_2
yantrabg_copy
yes
yes1
yes_shared
Категория:
Лични дневници
Прочетен: 158410 Коментари: 219 Гласове: 0
Последна промяна: 10.04.2011 15:32
Прочетен: 158410 Коментари: 219 Гласове: 0
Последна промяна: 10.04.2011 15:32
23.03.2011 09:29 -
Хакери - Проверка на сигурността на български уеб сайтове - част 2
Следващия сайт, който имаше много лесни за изпълнение атаки, свързани с неправилно обработване на потребителските заявки и изпълнение на sql injection атака е:
уеб сайт: http://www.novinar.net
Прави ми впечатление, че много от сайтовете са правени от "сериозни" фирми в бранша. фирми с богато портфолио, фирми които взимат доста пари за реализиране на подобен род уеб сайтове.
А в същото време - допускане на елементарни грешки свързани с неправилно филтриране и валидиране на входните данни.
Та това дори начинаещите уеб програмисти го знаят и учат, колко е важно.
За мен си е чиста "кражба" на много пари от хора и фирми, които не са наясно с нещата свързани с цялостното изграждане на един сайт.
Все пак освен да е функционален и подреден, да не забравяме че трябва и да е максимално сигурен.
Странно...не мисля, че съм първия, който открива тези елементарни уязвимости?!?
Как така никой не ги е хакнал досега?
Или вече не е модерно да се правиш на "хакер" и децата се занимават с други неща...или пък отдавна вече някой го е направил и злоупотребява с потребителските данни - мейли, пароли, документи.
Ако напоследък и не само сте имали "странни" проблеми с електронната поща, със сайтове за електронна търговия където имате регистрации, сайтове като ebay, paypal, epay, asos и т.н. се замислете дали нямате и регистрация и в сайтове като този на novinar.net или aimoti.com или още доста други, които скоро ще добавя.
А най - добрата защита е - да не използвате едни и същи пароли навсякъде!
Относно горепосочения сайт на новинар, който влиза днес в "блога на срама" - отново бърз и лесен достъп до цялата база данни, на администраторите - редактори, които имат права да управляват административната част и достъп до базата данни с регистрирани потребители - над 5 000 броя.
Интересното беше, че въпреки че паролите в базата дани бяха хеширани, много от паролите на 30-те редактора бяха адски лесни, като например на потребителя: desi - парола: desi.
Друго интересно беше, че админа Николай Колев: kolev@novinar.bg си беше сложил, визуално истинския мейл, но линка сочещ от тага mailto: сочеше към друг несъществуващ мейл адрес. Според мен е нарочно - примерно да не го занимават хората с глупости, знам ли....
След моето предупреждение, последва адски бърза реакция.
Но нито едно благодаря, нито стон, нито звук.
Писах им втори път относно мейла на админа и веднага го оправиха, но отново нищо.
Писмата бяха с копие и до председателя на борда на редакторите (или нещо подобно) - Любен Дилов - син.
Дори и той не си направи труда да бъде любезен.
Чудя се дали да не публикувам някъде базата данни с техните потребители?
Или пък понеже още не са запушили една пролука да не започна да публикувам новини, да променям новини и да им съсипя сайта....мислех си да сложа: "Иван Костов почина" или пък "Любен Дилов се ожени на Червено море" ... ;)
Ако на някой му се занимава - да действа, все още не са закърпили нещата, и това е така защото не знаят какво да търсят. Този път няма да им кажа.
уеб сайт: http://www.novinar.net
Прави ми впечатление, че много от сайтовете са правени от "сериозни" фирми в бранша. фирми с богато портфолио, фирми които взимат доста пари за реализиране на подобен род уеб сайтове.
А в същото време - допускане на елементарни грешки свързани с неправилно филтриране и валидиране на входните данни.
Та това дори начинаещите уеб програмисти го знаят и учат, колко е важно.
За мен си е чиста "кражба" на много пари от хора и фирми, които не са наясно с нещата свързани с цялостното изграждане на един сайт.
Все пак освен да е функционален и подреден, да не забравяме че трябва и да е максимално сигурен.
Странно...не мисля, че съм първия, който открива тези елементарни уязвимости?!?
Как така никой не ги е хакнал досега?
Или вече не е модерно да се правиш на "хакер" и децата се занимават с други неща...или пък отдавна вече някой го е направил и злоупотребява с потребителските данни - мейли, пароли, документи.
Ако напоследък и не само сте имали "странни" проблеми с електронната поща, със сайтове за електронна търговия където имате регистрации, сайтове като ebay, paypal, epay, asos и т.н. се замислете дали нямате и регистрация и в сайтове като този на novinar.net или aimoti.com или още доста други, които скоро ще добавя.
А най - добрата защита е - да не използвате едни и същи пароли навсякъде!
Относно горепосочения сайт на новинар, който влиза днес в "блога на срама" - отново бърз и лесен достъп до цялата база данни, на администраторите - редактори, които имат права да управляват административната част и достъп до базата данни с регистрирани потребители - над 5 000 броя.
Интересното беше, че въпреки че паролите в базата дани бяха хеширани, много от паролите на 30-те редактора бяха адски лесни, като например на потребителя: desi - парола: desi.
Друго интересно беше, че админа Николай Колев: kolev@novinar.bg си беше сложил, визуално истинския мейл, но линка сочещ от тага mailto: сочеше към друг несъществуващ мейл адрес. Според мен е нарочно - примерно да не го занимават хората с глупости, знам ли....
След моето предупреждение, последва адски бърза реакция.
Но нито едно благодаря, нито стон, нито звук.
Писах им втори път относно мейла на админа и веднага го оправиха, но отново нищо.
Писмата бяха с копие и до председателя на борда на редакторите (или нещо подобно) - Любен Дилов - син.
Дори и той не си направи труда да бъде любезен.
Чудя се дали да не публикувам някъде базата данни с техните потребители?
Или пък понеже още не са запушили една пролука да не започна да публикувам новини, да променям новини и да им съсипя сайта....мислех си да сложа: "Иван Костов почина" или пък "Любен Дилов се ожени на Червено море" ... ;)
Ако на някой му се занимава - да действа, все още не са закърпили нещата, и това е така защото не знаят какво да търсят. Този път няма да им кажа.
22.03.2011 17:32 -
Хакери - Проверка на сигурността на български уеб сайтове - част 1
Така,
реших да споделя резултатите от едни кратки "проучвания" които правя понякога.
Става дума за проверка на уеб сайтове подвизаващи се из родното Интернет пространство.
Одита е базиран предимно на елементарни неща - неправилно валидиране на потребителски заявки, sql injection техники и т.н.
Тоест неща, които лесно всеки с базови познания може да направи. Което прави нещата още по зле за уеб страниците страдащи от проблеми със сигурността. Защото както се казва всеки един тинейджър може лесно да ги реализира и навреди.
Искам да споделя и нещо друго - след откриване на някаква уязвимост, предупреждавам всеки собственик на сайт за проблема, като дори и предлагам съдействие за решаването му.
Но се натъквам всеки ден на ужасно безхаберие и непукизъм. Системите остават с дни, седмици и месеци непоправени.
"Ааа и какво като има достъп до базата ни данни...?!?" - това са редовните изказвания, направени с много ирония доста често.
Отношението вместо да е дружелюбно обикновенно е злобно!
Разбира се има и хора, които ти благодарят и се държат дружелюбно.
Ами след като е така нека им направим - "блог на срама"
Започвам с "жертвата" за днес, останалите по - нататък:
1. Уеб сайт: www.aimoti.com/
Web Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny2 with Suhosin-Patch
Current User: imoti@10.0.0.163
Sql Version: 5.0.51a-21-log
Интересните бази данни са: brokersbb, imoti, newimoti, newimoti-backup
Лесно се взима база данни с над 100 000 записа - имена на клиенти, агенции и т.н. вклюващи - адреси, телефони, мейл адреси, пароли и т.н.
Само ще подскажа, че доста от хората използват едни и същи пароли на много места, нали?
Пълно безхаберие. Дори им звънях по телефона....
реших да споделя резултатите от едни кратки "проучвания" които правя понякога.
Става дума за проверка на уеб сайтове подвизаващи се из родното Интернет пространство.
Одита е базиран предимно на елементарни неща - неправилно валидиране на потребителски заявки, sql injection техники и т.н.
Тоест неща, които лесно всеки с базови познания може да направи. Което прави нещата още по зле за уеб страниците страдащи от проблеми със сигурността. Защото както се казва всеки един тинейджър може лесно да ги реализира и навреди.
Искам да споделя и нещо друго - след откриване на някаква уязвимост, предупреждавам всеки собственик на сайт за проблема, като дори и предлагам съдействие за решаването му.
Но се натъквам всеки ден на ужасно безхаберие и непукизъм. Системите остават с дни, седмици и месеци непоправени.
"Ааа и какво като има достъп до базата ни данни...?!?" - това са редовните изказвания, направени с много ирония доста често.
Отношението вместо да е дружелюбно обикновенно е злобно!
Разбира се има и хора, които ти благодарят и се държат дружелюбно.
Ами след като е така нека им направим - "блог на срама"
Започвам с "жертвата" за днес, останалите по - нататък:
1. Уеб сайт: www.aimoti.com/
Web Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny2 with Suhosin-Patch
Current User: imoti@10.0.0.163
Sql Version: 5.0.51a-21-log
Интересните бази данни са: brokersbb, imoti, newimoti, newimoti-backup
Лесно се взима база данни с над 100 000 записа - имена на клиенти, агенции и т.н. вклюващи - адреси, телефони, мейл адреси, пароли и т.н.
Само ще подскажа, че доста от хората използват едни и същи пароли на много места, нали?
Пълно безхаберие. Дори им звънях по телефона....