Уразливості на webmanager-pro.com
15:09 10.12.201019.04.2010
У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector уразливості на сайті http://webmanager-pro.com. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
10.12.2010
SQL Injection:
http://webmanager-pro.com/c.php?id=1%20and%20version()=5
Redirector:
http://webmanager-pro.com/c.php?id=1&url=http://websecurity.com.ua
Якщо SQL Injection уразливість вже виправлена, то Redirector досі не виправлена.
Вівторок, 20:17 20.04.2010
Ото після такого http://hackzona.com.ua/forum/showpost.php?p=674&postcount=28 помагай потім людям…
Вівторок, 21:23 20.04.2010
Dementor
Так, невиховані люди зустрічаються (вони є як в офлайні, так і в онлайні), але хай тебе це не зупиняє
.
Власнику даного сайту, як стосовно opensource.com.ua, так і стосовно інших його сайтів, ти можеш більше не допомагати, раз він нахамив тобі. Або взагалі ігноруй його сайти, або якщо находиш дірки, то одразу роби їх full disclosure. Але не варто закидати справу допомоги людям (з покращенням безпеки їхніх сайтів) із-за подібних інцидентів. Не всі адміни хами, є й виховані та вдячні люди.
Стосовно юридичних аспектів даної діяльності (по пошуку і оприлюдненню уразливостей на сайтах), то прочитай мою статтю Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство (якщо ще не читав). І можеш на неї зсилатися у розмові з тими, хто намагається тебе безпідставно звинувачувати - нехай покращують свої знання з даної теми.
Вівторок, 21:34 20.04.2010
Та я не зважаю, просто трохи неприємно було. те, що йому більше не допомагатиму так це точно. А статтю твою читав, мені сподобалася. В себе на сайті опублікую.
Субота, 01:16 24.04.2010
Ну перепубліковувати всю статтю не потрібно
. Можеш просто згадати в новині про статтю та зробити лінку на неї, або зробити огляд статті, подібний до оглядів, що я періодично роблю в себе на сайті.
Субота, 01:18 24.04.2010
Загартовуй себе
, бо соціальний секюріті аудит - це невдячна справа. І невихованих людей є чимало, що за безкоштовну допомогу з безпекою їхніх сайтів не тільки спасибі не скажуть, а щей облають.
Коли я тебе останній часом агітував займатися соціальним аудитом, то я ж не казав, що все буде просто. І на вдячність осибливо розраховувати не доводиться (особливо в Уанеті, де рівень культури адмінів сайтів в середньому набагато нижчий ніж в інших частинах Мережі). Це я знаю з власного досвіду.
З невдячністю адмінів я стикнувся ще в 2005 році. І тому й створив свій сайт, щоб використовувати Просунуте відповідальне оприлюднення уразливостей. І як активно почав в 2006 році займатися соціальним секюріті аудитом, то я одразу почав стикатися з ігноруванням, невдячністю, ламерськими заявами, лайками і навіть погрозами. Цього всього за 2006-2010 роки я начувся достатньо. Так що з ситуаціями, подібних до наведеного тобою прикладу, я багато стикався на власному досвіді, тому просто не звертай на це увагу.
Субота, 09:01 24.04.2010
То добро що вони з України, а то про дірки я, як правило, повідомляю тільки українським сайтам (є і виключення), ну інколи російським, не завжди я публікую вразливість чи повідомляю про неї, бува що часто експлуатую й сам. Тому я й казав що деякі мої хаки хороші, а деякі погані, і поганпх багато, так вже склалися обставини.
Четвер, 23:48 06.05.2010
Dementor
Ну можна ж експлуатувати дірки на сайтах, з метою повідомлення адмінів про дірявість їхніх сайтів
. Чим я іноді займаюся і я називаю це добрим хаком.
Ну, а щоб поганих хаків в тебе було поменше, то ти “добрішай” - роби більше хороших хаків або звичайних повідомлень адмінам про дірки на сайтах. Щоб відсоток поганих хаків в загальній статистиці в тебе був невеликий.
П'ятниця, 08:21 07.05.2010
Знаєш, якщо чесно пробував, ото мені всі вже давно кажуть що я злий, ну шось воно не виходить в мене, в УАнеті рідко когось трогаю, своїх то повідомляєм-с, а другим уже як перепаде
П'ятниця, 08:24 07.05.2010
або от бува просто гроші потрібні, от, наприклад, зараз я тимчасово безробітний, сім’ю годувати треба, а за погані хаки заплатять більше за добрі.
Вівторок, 23:37 15.06.2010
Старайся краще
.
Це добре, що в Уанеті рідко кого трогаєш (тобто якщо займаєшся поганими хаками, то тільки на іноземних сайтах). Але рідко - це не значить завжди, та й можуть заплатити і за кримінал на українських сайтах. До того ж в інших країнах теж люди живуть. Тому регіональний аспект не є виправданням. І завжди враховуй моральний аспект справи
.
Так коли потрібні гроші, треба їх заробляти, а не криміналом займатися. Про те, що кримінальний кодекс потрібно шанувати, я вже писав тобі раніше. Чи займатися кримінальним хакерством, чи ні - це твоя справа, але сам я завжди від подібних пропозицій відмовлявся.
За добрі хаки за звичай взагалі не заплатять. Якщо хакнути сайт, щоб повідомити адміна, то це безкоштовна акція. Як я знаю з власного досвіду, рідко хто з адмінів сайтів, про дірки яким повідомив (чи сайти похакав), замовляють аудит безпеки. Тому єдина можливість заробляння на добрих хаках сайтів - це проведення аудиту. І як показує мій досвід, що в 2006, що зараз в 2010 цей напрямок майже не йде (тобто в Україні на даних послугах особливо не заробиш).
Середа, 10:39 16.06.2010
тут з тобою згоден, замовлень на аудит теж майже немаю. Хоча от фірма замовила після того, як я найшов декілька дірок в їх сайтах.
В принципі я не вважаю це(злом сайту) якимось криміналом, от коли йде вивід грошей з банку то так, це кримінал. А доступ до чогось для мене задоволення або заробіток (коли як). Бо ж Information must be Free
Хоча, звичайно, цн особиста думка кожного і кожен дивиться на певну ситуації з того чи іншого боку. Так що тут ще можна спорити з владою що є кримінал, а що ні.
Неділя, 23:57 31.10.2010
Так, в мене іноді бувають такі випадки, коли після знайдення дірок на сайті, його власники замовляють аудит. Але в основному в мене всі клієнти самі звертаються за аудитом, не чекаючи поки я чи інші люди знайдуть в них на сайті дірки. А з тих людей, на сайтах яких я знайшов дірки і вони поцікавилися аудитом (а таких небагато в загальній кількості), лише 1% в подальшому звертаються за аудитом безпеки. Тому, як я вже казав, поки цей напрямок майже не йде.
Спорити, звичайно можна. Але у влади може бути своя думка з цього приводу і можуть придратися майже на рівному місці (як це видно з деяких нових, про які я писав - коли з маленького хаку роблять велику справу). Тому завджи потрібно бути обережним
.