local-stats-pixel

Kā es "uzhakoju" spoki.tvnet.lv28

592 3

TL;DR git versijas kontrole bija publiski pieejama (lai gan noslēpta), kas ļāva jebkuram lejupielādēt spoki.tvnet.lv lapas visu kodu, analizēt to & veikt tēmētu uzbrukumu. http://spoki.tvnet.lv/.git/

Par šo kļūdu esmu ziņojis spokiem administrāciju un tā ir novērsta - vairs nesanāks.

Reklāma
592 3 28 Ziņot!
Ieteikt: 000
Izmantotie avoti:
http://dra.lv/buTll
Spoki.lv logo
Spoki.lv
Reklāma

Komentāri 28

0/2000

Būtu labāk kādus privātos spoku meiteņu foto uzhakojis, nē, čalis kļūdas meklē emotion

76 3 atbildēt

Kad šo visu lasiju es sapratu šādi

 

Aprēķinot kvadrātsakni no pī vērtības atņemot rona vīzlija matu krāsu pieskaitot aritmētisko vidējo mēs iegūstam putnus kokā, tikai cik?

 

Apmēram tā emotion

41 1 atbildēt

 http://spoki.tvnet.lv/.git/ šodien būs apmeklētākā saite spokos emotion

16 0 atbildēt

1) spoki kods nekad nav bijis noslēpums

2) šis bija serveru admina fails, kurš vispār ir ļoti kompetents džeks, bet nu visiem var gadīties..

3) kas attiecās uz hakošanu, tad viens igauņu hakeris reiz mācīja: atrast sql injekciju nav nekāds haks, bet dabūt datus laukā, tas jau ir haks un nevienmēr tas ir viens un tas pats!

4) iepriekš lietoja svn. jā, caurums, visdrīzāk, bija 2 gadus..

5) autoram: tvnets ik pa laikam meklē koderus emotion

6 0 atbildēt

Jacky telefona numuru neatradi tur? emotion

5 0 atbildēt

Interesanti... emotion

4 0 atbildēt

Vecis!

4 0 atbildēt

Nu šis izskatās pēc nepilnīgi nokonfigurēta webservera. Jo pirms by default uzlikt chmod 644 vēl stipri jāpiedomā pie .htaccess satura. Zinu ka pats daudz kur grēkoju, bet nopietniem pasākumiem nākas dažreiz pat vesalu dienu nosēdēt ar Nikto un Backtrack testējot drošību un veicot izmaiņas. Pie kam pie sarežģītākas konfigurācijas, to nepieciešams veikt nevis vienam bet X skaitam serveru. Nākošais pie kā var sēdēt vēl pāris dienas ir MySQL sekūrošana, tas pasākums ir vēl piņķerīgāks, parasti džekam kurš to dara vēl nepieciešams visu laiku trenkāt progeri, kurš raksta kodu, jo rets būs gadījums, kad to veiks viens cilvēks un vienlīdz labi pārzinās drošību un kodēšanu. 

3 0 atbildēt
emotion
1 0 atbildēt

Interesanti, nebiju mēģinājis noklonot no .git direktorijas

0 0 atbildēt
 Iegāju http://spoki.tvnet.lv/.git/ un parādījās : Forbidden

You don't have permission to access /.git/ on this server.

emotion 

0 0 atbildēt

Pierādījums, ka čalīts saprot, ko dara! Malacis!

P.S.

Lai slavēts Ubuntu emotion

0 0 atbildēt