Na co si dát pozor - stoyan.ic.cz Mozektevidi.net - Píše Olda Šálek.

Na co si dát pozor - stoyan.ic.cz

Průnik na web stoyan.ic.cz (přesunoto stoyan.cz) Na co si dát pozor při tvorbě webu, zabezpečení proti hackingu. IT bezpečnost

image of Na co si dát pozor - stoyan.ic.cz

Hacking webu stoyan.ic.cz

Tak si znuděně surfuji na internetu a narazím na jeden web Stoyan.ic.cz. Zaujme mě program Postreh.exe

Tak si program stáhnu a pouštím. Program je taková jednoduchá kravinka.

Kouknu se na logy a vidím, že posílají nějaká data ven. Data zachytím a analyzuji. Hm, odesílaly se moje čísla a hesla na ICQ.

To mě poněkud naštve a i když jsem si řekl, že už nebudu hackovat, rozhodl jsem se k protiútoku. Zkoumal jsem web, ten program a po chvilce jsem zjistil jeho heslo. Uživatelské jméno zní ic_stoyan a heslo bylo pillow. Není to moc kvalitní heslo. Heslo bylo k jeho třem webům a k jeho databázi na IC.CZ. No tak jsem mohl vesele začít.

Upravil jsem jeho hlavní stránku (index.php) (původní jsem zálohoval)

V afektu jsem tam napsal:

Tyto www jsou hacknuty. Nic není smazáno, heslo se nezměnilo.
Hele moc nemachruj. Někde jsi si přečetl návod a pak se snažíš hackovat. Jsi lama.
 A to si ještě dovolíš dělat trojany. Cha. A zkoušíš hacknout mě!
 Dovol abych tě vysmál..

parody:Ptáte se proč to vlastně dělám? Ze dvou důvodů. Za prvé mě to baví a za druhé se snažím upozornit na chyby a bezpečnostní rizika daného webu - není v tom nic osobního. Také bych chtěl upozornit, že nikdy nic nemažu a každý změnený soubor zazálohuji. Říkáte si také, že to, co dělám je nelegální? Já si myslím, že není. Co takhle když jdete po ulici a uvidíte špatné zavřené auto? Zazvoníte na nejbližší zvonek a upozorníte majitele, ať si ho zavře pořádně. Je tohle trestné? Ne, je to jen dobrý úmysl. Můžete se mnou nesouhlasit, ale takto chápu i to, co dělám já. Také už mi bylo vytčeno, že si tímto způsobem pouze zvyšuji své EGO a dělám si reklamu. Prý proč chybu pouze potichu neopravím a nevypařím se? Na to je lehká odpověď. Pokud stránky adminovi mírně upravím (v mém případě pouze napíši kontakt na sebe) on uvidí, že chyba je opravdu vážná a bude s tím spíše něco dělat, než kdybych mu jen suše oznámil, že má na webu nějakou chybu. Teď k tomu tichému opravení. Samozřejmě je to možné, mnozí si jistě řeknou, že to je i to nejlepší, co jde v tomto případě udělat, ale já si to nemyslím. Admin nebude mít ani potuchy o tom, že jste mu na stránkách něco opravili a na příštích stránkách, které vytvoří, udělá stejnou chybu. Já prosazuji názor, že chybami se člověk učí. Takže pokud je admin alespoň trochu rozumný, ozve se mi a já mu danou chybu detailně popíši a navrhnu mu řešení. Šance, že pak admin udělá stejnou chybu znovu, je velmi malá./parody

Když jsem to dopsal a uložil na FTP, Upozornil jsem ho e-mailem.

Po chvilce se ozval a moc se divil ..

Co říci závěrem? Pár doporučení pro lepší zabezpečení webu.

  • Nemám rád trojany
  • Nezkoušejte mě hacknout
    • A nebo jo. Zkuste to
  • Nevolte si jednoduchá hesla
  • Neopakujte hesla
  • Co nechceš aby druzí činili tobě, nečiň ty jim.

autor článku Oldřich Šálek | datum publikování 18.listopad.2006 17:17 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku