Коментарі для запису: Уразливість на kpi-telecom.kpi.ua http://websecurity.com.ua/4227/ Sat, 18 Apr 2026 18:45:25 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/4227/#comment-323244 Sat, 29 May 2010 20:49:00 +0000 http://websecurity.com.ua/4227/#comment-323244 <blockquote>Извиняюсь, что был сильно эмоционален</blockquote> Ничего страшного. Я регулярно сталкиваюсь с эмоциональными заявления от различных людей, которые не разобравшись в ситуации (в конкретных уязвимостях или эксплоитах к ним), в том числе невнимательно прочитав моё описание, начинают высказывать свои притензии. Поэтому всем стоит вначале детально ознакомиться с темой, а если чего-то не знаешь, то почитать соотвествующие статьи и документацию, а уже потом делать заявления, и тем более стонать :-). Вообще не стоит стонать, а нужно спокойно разбираться с тем о чём идёт речь. И всегда исправлять уязвимости в своём ПО, как в веб приложениях и серверном ПО, так и десктопном ПО. Касательно твоих комментариев я ещё отвечу, как найду время.

Извиняюсь, что был сильно эмоционален

Ничего страшного. Я регулярно сталкиваюсь с эмоциональными заявления от различных людей, которые не разобравшись в ситуации (в конкретных уязвимостях или эксплоитах к ним), в том числе невнимательно прочитав моё описание, начинают высказывать свои притензии.

Поэтому всем стоит вначале детально ознакомиться с темой, а если чего-то не знаешь, то почитать соотвествующие статьи и документацию, а уже потом делать заявления, и тем более стонать :-) . Вообще не стоит стонать, а нужно спокойно разбираться с тем о чём идёт речь. И всегда исправлять уязвимости в своём ПО, как в веб приложениях и серверном ПО, так и десктопном ПО.

Касательно твоих комментариев я ещё отвечу, как найду время.

]]> від: Andrey Vasilishin http://websecurity.com.ua/4227/#comment-323057 Fri, 28 May 2010 23:05:47 +0000 http://websecurity.com.ua/4227/#comment-323057 Извиняюсь, что был сильно эмоционален, нашел статью на Вагем сайте с детальным описанием методов атаки, действительно уязвимость серъезная, но часть вины все же лежит на пользователе, который посещает сайты со скрытыми ифреймами. В скрытый ифрейм можно подсунуть не только исполнимій код, который перешлет куки злоумешленнику, да т злоумышленнику не от всех сайтов нужны куки, а только от тех, где есть чем поживиться - платные сервисы, денежные системы, баннерные системы. Извиняюсь, что был сильно эмоционален, нашел статью на Вагем сайте с детальным описанием методов атаки, действительно уязвимость серъезная, но часть вины все же лежит на пользователе, который посещает сайты со скрытыми ифреймами. В скрытый ифрейм можно подсунуть не только исполнимій код, который перешлет куки злоумешленнику, да т злоумышленнику не от всех сайтов нужны куки, а только от тех, где есть чем поживиться - платные сервисы, денежные системы, баннерные системы.

]]> від: Andrey Vasilishin http://websecurity.com.ua/4227/#comment-323011 Fri, 28 May 2010 17:36:59 +0000 http://websecurity.com.ua/4227/#comment-323011 Еще одно, хотелось бы увидеть что реально можно получить используя XSS, кроме как вывод своих же куков в формочку? Еще одно, хотелось бы увидеть что реально можно получить используя XSS, кроме как вывод своих же куков в формочку?

]]> від: Andrey Vasilishin http://websecurity.com.ua/4227/#comment-323010 Fri, 28 May 2010 17:32:40 +0000 http://websecurity.com.ua/4227/#comment-323010 Дыра не исправлена, так как вэб-мастера сократили еще в начале кризиса, больше года назад. У КПИ, как и всех госструктур есть одна большая проблема - люди работают не на своих местах, занимают должности, для которых нет нужных профессиональных навыков. Лабораторией "Информ", которая занимается ведением сайта kpi.ua и еще кучки КПИшных заведует дядя, которому уже на пенсию пора, в штате есть еще 2 такого же возраста тети, которые гамаются в Lines, вместо того чтобы что-то полезного почитать/сделать. Рекомендую также ознакомится с сайтом http://mses.kpi.ua/. Его ведением занимается преподаватель ,который читает курс вэб-программирования на своей кафедре. К большому сожалению в КПИ студентам все больше и больше приходится учится самим, так как профессионалов, которые могли бы чему-то научить, во всяком случае в области IT - нету. Дыра не исправлена, так как вэб-мастера сократили еще в начале кризиса, больше года назад. У КПИ, как и всех госструктур есть одна большая проблема - люди работают не на своих местах, занимают должности, для которых нет нужных профессиональных навыков. Лабораторией “Информ”, которая занимается ведением сайта kpi.ua и еще кучки КПИшных заведует дядя, которому уже на пенсию пора, в штате есть еще 2 такого же возраста тети, которые гамаются в Lines, вместо того чтобы что-то полезного почитать/сделать.
Рекомендую также ознакомится с сайтом http://mses.kpi.ua/. Его ведением занимается преподаватель ,который читает курс вэб-программирования на своей кафедре.
К большому сожалению в КПИ студентам все больше и больше приходится учится самим, так как профессионалов, которые могли бы чему-то научить, во всяком случае в области IT - нету.

]]> від: MustLive http://websecurity.com.ua/4227/#comment-323008 Fri, 28 May 2010 17:15:10 +0000 http://websecurity.com.ua/4227/#comment-323008 <strong>Андрей</strong> Непосредственно от тебя я не слышал подобных высказываний до сегодняшнего дня. Зато я не раз слышал за последние 4 года несерьёзные высказывания от различных людей (любящих стонять) по поводу XSS, DoS и других уязвимостей. Что им мол эти дыры не интересны и хочется чего-нибудь посерьёзнее. И всем этим людям я замечал следующее. Что не нужно стонать. И если хочеш найти более серьёзную дыру на любом веб сайте или веб приложении, то бери и ищи. А также у меня на сайте опубликованы различные уязвимости (различных классов), поэтому каждый может найти себе то, что ему больше нравится. <blockquote>а то выучили слово XSS и фарцуете перед школьниками.</blockquote> В своей жизни я выучил много слов, в том числе касательно названий классов уязвимостей. Что ты можешь увидеть у меня на сайте (где за около 4 лет работы проекта я опубликовал множество уязвимостей). Так что, если ты ещё этого не сделал, раз делаешь такие несерёьзные заявления, то можешь почитать мой сайт. А оригинальничать ни для тебя, ни для кого-либо другого я не обязан. Я говорю о существующих дырах. И все дыры нужно исправлять (независимо от того, насколько они оригинальны для тебя или админа уязвимого сайта). И от kpi-telecom.kpi.ua я пока что ни спасибо не получил, ни дыра не была исправлена. Лишь только несерьёзные заявления от тебя. Если ты считаешь оригинальным дыры на КПИ-шных сайтах (в том числе kpi-telecom.kpi.ua), взломы множества КПИ-шных сайтов о которых я писал многократно, а также <a href="/3826/" rel="nofollow">инфекцию на kpi.ua</a> - то это твои проблемы. И подобная несерьёзность КПИ не делает ему чести. И это является причиной того, почему я отказался выступать в этом году в КПИ на <a href="/4137/" rel="nofollow">CodeCamp 2010</a>. Андрей

Непосредственно от тебя я не слышал подобных высказываний до сегодняшнего дня. Зато я не раз слышал за последние 4 года несерьёзные высказывания от различных людей (любящих стонять) по поводу XSS, DoS и других уязвимостей. Что им мол эти дыры не интересны и хочется чего-нибудь посерьёзнее.

И всем этим людям я замечал следующее. Что не нужно стонать. И если хочеш найти более серьёзную дыру на любом веб сайте или веб приложении, то бери и ищи. А также у меня на сайте опубликованы различные уязвимости (различных классов), поэтому каждый может найти себе то, что ему больше нравится.

а то выучили слово XSS и фарцуете перед школьниками.

В своей жизни я выучил много слов, в том числе касательно названий классов уязвимостей. Что ты можешь увидеть у меня на сайте (где за около 4 лет работы проекта я опубликовал множество уязвимостей). Так что, если ты ещё этого не сделал, раз делаешь такие несерёьзные заявления, то можешь почитать мой сайт.

А оригинальничать ни для тебя, ни для кого-либо другого я не обязан. Я говорю о существующих дырах. И все дыры нужно исправлять (независимо от того, насколько они оригинальны для тебя или админа уязвимого сайта).

И от kpi-telecom.kpi.ua я пока что ни спасибо не получил, ни дыра не была исправлена. Лишь только несерьёзные заявления от тебя. Если ты считаешь оригинальным дыры на КПИ-шных сайтах (в том числе kpi-telecom.kpi.ua), взломы множества КПИ-шных сайтов о которых я писал многократно, а также инфекцию на kpi.ua - то это твои проблемы. И подобная несерьёзность КПИ не делает ему чести. И это является причиной того, почему я отказался выступать в этом году в КПИ на CodeCamp 2010.

]]> від: Andrey Vasilishin http://websecurity.com.ua/4227/#comment-323002 Fri, 28 May 2010 16:41:07 +0000 http://websecurity.com.ua/4227/#comment-323002 Уже не раз писал, что придумайте что-то по оригинальнее, а то выучили слово XSS и фарцуете перед школьниками. Уже не раз писал, что придумайте что-то по оригинальнее, а то выучили слово XSS и фарцуете перед школьниками.

]]>