| Subiectul anterior :: Subiectul următor |
| Autor |
Mesaj |
alterego
Data înscrierii: 07/Feb/2005
Mesaje: 49
|
| Trimis: Dum Apr 17, 2005 9:41 am Titlul subiectului: Securitatea unor site-uri lasa de dorit |
|
|
Sunt de-a dreptul dezamagit de ceea ce am descoperit astazi : securitatea site-urilor multor companii romanesti si nu numai (site-uri cu trafic demn de toata lauda).
Am dat din intamplare peste o pagina care-mi afisa codul sursa in loc de pagina propriu zisa si am vrut sa vad ce se intampla : nu stiu daca e bine sa vorbesc aici despre aceasta chestiune pentru ca mie mi se pare foarte grava si daca ar fi sa expun partea de care sufera site-urile cu pricina unora le-ar veni idei...
Eu n-am pretentii ca as fi CINEVA in domeniul programarii web dar chestia pe care am descoperit-o vis-a-vis de securitatea acelor pagini mi se pare ceva elementara ca sa fie ignorat.
Vreau sa discut pe privat despre acest aspect ! Contactati-ma ! Cei rau intentionati sa se abtina ! |
|
| Sus |
|
w31rd0
Data înscrierii: 15/Mar/2004
Mesaje: 165
Locație: Timisoara
|
| Trimis: Dum Apr 17, 2005 10:17 am Titlul subiectului: |
|
|
| Da despre ce vrei tu sa discuti? Nu prea am intelese rostul post-ului tau. |
|
| Sus |
|
beeuser
Data înscrierii: 20/Mai/2004
Mesaje: 389
|
| Trimis: Dum Apr 17, 2005 2:53 pm Titlul subiectului: |
|
|
| Ai dat de un admin care n-a configurat serverul web cum trebuia. |
|
| Sus |
|
alterego
Data înscrierii: 07/Feb/2005
Mesaje: 49
|
| Trimis: Dum Apr 17, 2005 5:10 pm Titlul subiectului: |
|
|
| Daca usurinta cu care poti scrie peste datele de pe acel server, e o chestie de configurare, eu l-as da afara pe acel imbecil. Dar problema nu e un singur site ci zeci de site-uri care sufera de aceeasi scapare... |
|
| Sus |
|
arond
Data înscrierii: 11/Mar/2004
Mesaje: 580
Locație: 127.0.0.1
|
| Trimis: Dum Apr 17, 2005 9:30 pm Titlul subiectului: |
|
|
Daca tu consideri ca e asa grav si ca sunt cunostinte primejdioase :) fa-le un pustiu de bine administratorilor alora, da-le un mail, si explica-le lor cat sunt de idioti...
Oricum, postul tau si threadul asta n-au nici un rost fara sa ne limpezesti aceea majora probleme de securitate :).
Numa' bune. |
|
| Sus |
|
alterego
Data înscrierii: 07/Feb/2005
Mesaje: 49
|
| Trimis: Lun Apr 18, 2005 9:31 am Titlul subiectului: |
|
|
Iata un exemplu deloc periculos :
http://top.agonia.net/install.php |
|
| Sus |
|
Pirahna
Data înscrierii: 22/Aug/2004
Mesaje: 4528
Locație: la birou
|
| Trimis: Lun Apr 18, 2005 4:13 pm Titlul subiectului: |
|
|
pai u need user si pass de la mysql ... :D
n-au voie oamenii sa tina scriptul de install online ???
:P |
|
| Sus |
|
w31rd0
Data înscrierii: 15/Mar/2004
Mesaje: 165
Locație: Timisoara
|
| Trimis: Mar Apr 19, 2005 6:19 am Titlul subiectului: |
|
|
alterego a scris: Iata un exemplu deloc periculos :
http://top.agonia.net/install.php
Eu zic ca mai bine sa mai inveti un pic :oops: si dupa aia sa mai postezi un thread in PHP Avansat :lol:
Sper sa nu mi-o iei in nume de rau |
|
| Sus |
|
Emil
Data înscrierii: 16/Noi/2003
Mesaje: 301
Locație: echo $REMOTE_ADDR
|
| Trimis: Mar Apr 19, 2005 11:04 pm Titlul subiectului: |
|
|
E bine sa notifici webmasterul acelui site insa de multe ori te lovesti de ignoranta sau deseori, in cazul site-urilor romanesti mai ales, te lovesti de amenintari.Nu ma poate acuza nimeni ca testez securitatea unui site, ca-mi place sa ma joc cu parametrii unui url, deh, sunt curios din nastere.
Caz concret, BetaNews.com - un flaw banal pentru un site cu pretentii cum este acesta -> http://fileforum.betanews.com/releases?num=50
Orice programator php cu cunostinte basic vede acel "num=50", daca va ganditi la ce m-am gandit eu, aveti dreptate, nu e nici un limit pentru a proteja inlocuirea acelui $_GET['num'], daca puneti 5000000 va functiona, ce se intampla daca 1000 useri acceseaza acel url cu 5000000 in loc de 50 e lesne de inteles.
Am trimis un email la betanews acum mai bine de o luna, am primit un reply cu "saru'mana, multumim, vom fixa" dar bug-ul inca persista. 8O
Am intalnit si eu o serie de cazuri in care erau gauri serioase de securitate (aici ma refer doar la securitatea scripturilor PHP). Uneori a avut efect alteori nu, cel mai bine e sa dai un mail de notify, sau cel mai bine, sa ignori, sperand ca daca vreodata vor suferi un atac, vor invata din greseli, unii scapa, altii ba :mrgreen: |
|
| Sus |
|
johnny
Data înscrierii: 31/Iul/2004
Mesaje: 904
Locație: Bucuresti
|
| Trimis: Mie Apr 20, 2005 2:27 pm Titlul subiectului: |
|
|
un caz similar:
am sesizat o problema similara unui site, care continea un director de terenuri de golf din SUA, aveau acceasi problema cu limita...
am sesizat si le-am expus problema, si le-am mai mentionat ca exsita pe site-uri de freelance cereri pentru asemenea site-uri [clone], si ca o copie a informatiilor existente ar fi foarte usor de obtinut si sa repare...
Nu au reparat si mi-au trimis un mail din care am tras concluzia ca eram suspect de a fi craker [unde am gasit linkul - loool, si alte alea...] ... uite multumescul... |
|
| Sus |
|
phpweb
Data înscrierii: 29/Mar/2005
Mesaje: 210
|
| Trimis: Joi Apr 21, 2005 8:09 am Titlul subiectului: |
|
|
Uitati o chestie care mi se pare bizara :
http://www.concursuri.viper.ro/include/
Daca aceste fisiere ar putea fi deschise cu functiile cunoscute din PHP si apoi rescrise, cred ca nu le-ar cadea bine la cei care detin site-ul cu pricina. |
|
| Sus |
|
Radical
Data înscrierii: 16/Feb/2004
Mesaje: 327
Locație: Bucuresti
|
| Trimis: Joi Apr 21, 2005 3:38 pm Titlul subiectului: |
|
|
phpweb a scris: Daca aceste fisiere ar putea fi deschise cu functiile cunoscute din PHP si apoi rescrise, cred ca nu le-ar cadea bine la cei care detin site-ul cu pricina. Asa... si ? 8O Oricum trec prin PHP... si nu ai ce face... ar fi fost criminal ca acele fisiere sa aiba extensia .inc si sa nu fie "filtrate"... pana atunci... nu vezi mare lucru... nu e mare bai...
Iar un fopen() din php nu iti dezvaluie sursa... pentru ca tot trece prin Apache/PHP la ei pe server...
De "rescriere" nu mai vb. ... nu cred ca Apache 1.3.33 suporta PUT ? 8O |
|
| Sus |
|
phpweb
Data înscrierii: 29/Mar/2005
Mesaje: 210
|
| Trimis: Lun Apr 25, 2005 10:11 am Titlul subiectului: |
|
|
| Eu doar am spus niste chestii, dar n-am bagat mana in foc. Sunt novice in ale php-ului si nu stiu cum sta treaba. Oricum cred ca nu este profesional sa lasi asa la vedere fisierele unui site. |
|
| Sus |
|
Pirahna
Data înscrierii: 22/Aug/2004
Mesaje: 4528
Locație: la birou
|
| Trimis: Lun Apr 25, 2005 10:59 pm Titlul subiectului: |
|
|
lol ... e destul de profesional ... uite si mesajul subinteles :
"Suntem mai prostuti din punct de vedere al securitatii asa ca va rugam daca ne hack-uiti sa nu ne stergeti nimic si oricum nu aveti ce vedea ... chiar va dam fisierele mura-n gura ca sa fiti siguri sa nu va pierdeti vremea"
:P |
|
| Sus |
|
phpweb
Data înscrierii: 29/Mar/2005
Mesaje: 210
|
| Trimis: Mar Apr 26, 2005 8:43 am Titlul subiectului: |
|
|
| Pirahna se pare ca are o parere prea buna despre el, trebuie sa o respectam caci este a lui. Nu stiu de ce esti asa de rautacios cu incepatorii, dumneata te-ai nascut gata invatat ? Felicitari daca stau asa lucrurile. |
|
| Sus |
|
PHPRomania Bot
Bot Member
Data înscrierii: 27/Dec/2007
Mesaje: 1
Locaţie: Server Google |
| Trimis: Mie Dec 26, 2007 7:01 pm Titlul subiectului: Ad |
|
|
|
|
|
| Sus |
|
| |
