Lamerství administrátorů (c) Oldřich Šálek
Lamerství administrátorů
Lamy útočí. O tom, jak si Lama hraje na admina. Programuje špatné aplikace. PHP injekce na modryandel.cz. Bezpečnostní chyby, špatné php aplikace a to vše ke stažení.Lamerství rádoby administrátorů
Kdysi dávno, někdy kolem 3. ledna 2007 jsem si prohlížel svoje statistiky, koukal odkud chodí návštěvníci a co hledají. Narazil jsem na 12 přístupů ze stránky modryandel.cz. Nevím o co jde, stránku jsem neznal. Kliknu a načítá se mi modryandel.cz/rozvozjidla. Hm, nějaká restaurace či co, hledám svůj odkaz. Po chvilce zaostřám na běžící text uprostřed stránky :Tyto stránky hacknul Matěj21 podle návodu uveřejněného na mozektevidi.net. Nevěřím svým očím. Směji se. Jelikož jsem férový, posílám email modrému andělovi, kde ho upozorňuji na lamerskou bezpečností chybu:
Dobrý den, na vaší www stránce je bezpečnostní chyba. Berte to jako přátelské upozornění a chybu opravte dřív než vám někdo smaže web.. S pozdravem MzK.
Po půlhodince mi odepsali, jak mi moc děkují atd atd. Po další chvilce chybu i opravují. Sice docela nešikovně, tak mi to nedá a pustím se do deteilnějšího zkoumání zabezpečení php aplikace. No, nebudu to rozpitvávat, po zjištění hesla jsem se dostal do jejich databáze. Datábáze je velká 15,8MB a obsahuje spousty telefoních čísel, adres a dalších informací o restauracích, ale i zákaznících a přehled objednávek!
To jsem jim samozřejmě oznámil, heslo do databáze změnili. Každý programátor může napsat děravou aplikaci. Dal jsem mu "šanci" více jak měsíc, chyby neopravil. Co udělám? Proč bych ho já student měl poučovat o základnech bezpečného programování? Abych dokázal, že tu neplácám blbosti, uvedu odkaz, kde je záloho celého webu bez databází. Celé php skrity v čitelné podobě. Takže pozor, odkaz vypadá asi takto:
http://www.modryandel.cz/rozvozjidla/zaloha_mertha_rjid.tar
bezpečné php aplikace
PHP skripty použitje jenom pro studium PHP skripty nejsou určeno pro poškození firmy modryandel. A ke studiu už vůbec ne. Když něco děláš, dělej to pořádně!.
Oldřich Šálek |
12. února 07, 16:02
Líbil se ti článek? Sleduj další články pomocí RSS.
Související články
- Nejsou žádné podobné články
Diskuze ke článku
Komentáře a diskuze ke článku tady
Vyhledávání na webu
RSS export
Náhodné články
- Sázava 2006
- Staročeské máje Jestřání Lhota
- Virus přes ICQ
- Co mě zaujalo - fotky z antifestu
- Nové ICQ 6 - a pak že to nejde
- Mám nový telefon - SE K800
- Dlouhodobé zkušenosti s MS Natural Ergonomic Keyboard 4000
- Proč je linux lepší - start systému
- Dilema s výběrem digitálního foťáku
- Optimalizace PHP skriptů v praxi
Poslední články
- Gaudeamus Igitur fotogalerie
- Invex 2008 skončil, on začal?
- Invex 2008 je katastrofa
- Mám 20. narozeniny.
- Mám dobrou brigádu. Dělám Projektového ředitele
- Na webexpo nemůžu chybět
- Zavírák 2008 Milovice fotky
- Amway ano, geocaching ne
- TPCA beat Fest fotogalerie
- Vítám nove čtenáře z patrikvogl.cz
Tagy ke stránce
cizí heslo na icq programy na zjisteni hesel na webu jak zjistit IP návštěvníků webu bez kódu zjištění hesla na email program na zjisteni hesel email jak na heslo administrátora program na zjištění hesla na emailu program na zjištění hesel ke stažení jak zjistit heslo icq cizich aplikace do mobilu na zjisteni bezpecnostniho kodu program na zjisteni icq hesla program na zjisteni hesla na skype hacking zjisteni hesla Administratora jak zjistit IP ze skype program pro administrátoryPoslední komentáře
© Copyright Oldřich Šálek. Používám kvalitní webhosting netzona.cz
Vrátit nahoru