Skocz do zawartości
Miłosz

serwerstatus.pl hacked

Polecane posty

Tak sobie wchodzę na serwerstatus.pl a tu niespodzianka :)

 

http://www.imagebana...aczenie_015.png

http://www.imagebana...aczenie_016.png

 

Kwestia znalezienia danych z Twojej bazy w Internecie, to pewnie kwestia czasu. Mam tam konto, ale ze śmieciwoym hasłem i mailem, więc to żaden problem. Ale ciekawe co powiedzą osoby, które podały nr telefonu :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wstań z krzesła idź po ścierkę i wytrzyj ;)

 

Nie rozumiem takiej pogoni za sensacjami, ledwo zobaczył już leci się pochwalić...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie rozumiem takiej pogoni za sensacjami, ledwo zobaczył już leci się pochwalić...

Nie wstawiłbym tego, ale całkiem niedawno pokazaliśmy Kamikadze palcem gdzie ma luki. Jak widać dalej one są na swoim miejscu.

Mnie to tam nie rusza, bo w takich serwisach nie podaje swoich haseł, które używam na codzień czy też nr telefonu.

 

Się tak nie unoś, może jeszcze jedną 100 sobie chlapnij jak masz za mało ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wstawiłbym tego, ale całkiem niedawno pokazaliśmy Kamikadze palcem gdzie ma luki. Jak widać dalej one są na swoim miejscu.

 

No troche nie fair zachowanie, ale to Twoje podejście. Ważne że widać teraz co się bardziej liczy lojalność wobec kolegi, który ma duży wkład na forum i realna pomoc w rozwiązaniu tej sytuacji czy dobicie projektu. Wybrałeś to drugie podejście co moim zdaniem zrobiło więcej szkody niż sam włam.

 

Fajny projekt dobiłeś swoim postem, Kamikadze powinien Ci podziękować inny powinni zastanowić się nad Tobą...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No troche nie fair zachowanie, ale to Twoje podejście.

Nie? Bodajże 18 października miał pokazane gdzie są luki. I uważasz, że to nie fair? Widocznie nie wyciągnął z tego wniosków. Nie naprawił nic.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Nie wstawiłbym tego, ale całkiem niedawno pokazaliśmy Kamikadze palcem gdzie ma luki. Jak widać dalej one są na swoim miejscu.

Mnie to tam nie rusza, bo w takich serwisach nie podaje swoich haseł, które używam na codzień czy też nr telefonu.

 

Się tak nie unoś, może jeszcze jedną 100 sobie chlapnij jak masz za mało ;)

No troche nie fair zachowanie, ale to Twoje podejście. Ważne że widać teraz co się bardziej liczy lojalność wobec kolegi, który ma duży wkład na forum i realna pomoc w rozwiązaniu tej sytuacji czy dobicie projektu. Wybrałeś to drugie podejście co moim zdaniem zrobiło więcej szkody niż sam włam.

 

Fajny projekt dobiłeś swoim postem, Kamikadze powinien Ci podziękować inny powinni zastanowić się nad Tobą...

Nie? Bodajrze 18 października miał pokazane gdzie są luki. I uważasz, że to nie fair? Widocznie nie wyciągnął z tego wniosków. Nie naprawił nic.

 

 

 

Nie będę odpowiadał na każdego posta oddzielnie. Zrobię jeden zbiorczy.

 

 

Tak błędy zostały wypomniane. Jestem amatorem - nie będę ukrywał.

Niektóre luki zostały poprawione od razu, ale nie wiem czy na FB widzieliście przygotowuję nowy panel gdzie prawdopodobnie większośc luk jest załatana (czy wszystkie to nie wiem, bo jestem tylko człowiekiem i każdy popełnia błędy).

 

Ja wychodzę z założenia że wolę zrobić jedną dużą łatkę na większość rzeczy niż ciułać pojedyńczo. Oczywiście nie mam tyle czasu jeszcze żeby siedzieć 24/7 nad projektem. Może to i błąd, ale to moje rozumowanie i proszę o zrozumienie. Każdy jest człowiekiem.

 

 

Pewnie nie wszyscy uwierzą, ale specjalnie dla projektu kupiłem książkę dotyczącą bezpieczeństwa PHP i zaczynam dzięki tej książce łatać większość rzeczy.

 

 

Miłosz czy nie naprawił nic? Naprawił, ale w tedy było na szybko i było to zrobione nie dokładnie jak widać na załączonych obrazkach ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie? Bodajrze 18 października miał pokazane gdzie są luki. I uważasz, że to nie fair? Widocznie nie wyciągnął z tego wniosków. Nie naprawił nic.

 

A może naprawił za mało, może trzeba było poczekać a nie dobijać?

 

Moim zdaniem Twoje zachowanie dyskredytuje Cię jako osobę, z którą powinno się prowadzić dyskusję.

 

Teraz pytanie czy to włam nie zrobił ktoś z "pokazujących" co powinno być jednak doprowadzone do końca osoba powinna ponieść odpowiedzialność. Skoro wskazywałeś lukę to Ty lub znajomi o niej wiedzieli, włam nastąpił po tym czasie więc ja bym wiedział od kogo zacząć szukać ;)

 

Dla mnie wygląda to tak, wskazałem lukę, nie zareagował, olał mnie, to ja mu pokażę na forum...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Teraz pytanie czy to włam nie zrobił ktoś z "pokazujących" co powinno być jednak doprowadzone do końca osoba powinna ponieść odpowiedzialność. Skoro wskazywałeś lukę to Ty lub znajomi o niej wiedzieli, włam nastąpił po tym czasie więc ja bym wiedział od kogo zacząć szukać ;)

 

Dla mnie wygląda to tak, wskazałem lukę, nie zareagował, olał mnie, to ja mu pokażę na forum...

Nie mam zwyczaju straszyć sądem, ale myślę, że takie pomówienia możesz sobie schować głęboko w zadek.

Możesz śmiało próbować mi to udowodnić. Sam, przez policje/prokurature/kolegów. Nie interesi mnie to. A potem ładnie przeprosisz..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Spokojnie chłopaki.

 

Wątek dotyczy chyba mojego projektu a nie waszych przepychanek hehe ;)

Są święta wyluzujcie ;)

 

 

Co do tematu. Luki będą poprawione. Nie powiem że teraz, za 5 minut czy za rok. Bo wiadomo kolejne mogą się pojawić przy wdrażaniu nowości czy chociażby zostaną przeoczone ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z całym szacunkiem ale jeżeli nie masz czasu na naprawienie luki, która powoduje włam i wykradzenie danych to lepiej zamknij/zawieś projekt do czasu aż ten czas znajdziesz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mam zwyczaju straszyć sądem, ale myślę, że takie pomówienia możesz sobie schować głęboko w zadek.

Możesz śmiało próbować mi to udowodnić. Sam, przez policje/prokurature/kolegów. Nie interesi mnie to. A potem ładnie przeprosisz..

 

To idź zgłoś jak się czujesz urażony, wiem że tego nie zrobisz nie pytam dlaczego ;)

 

Skoro wskazywaliście luki to znaczy że robiliście "audyty". Jeżeli właściciel o tym nie wiedział przed to oznacza, "że chodziliście po domach i sprawdzaliście kto ma jakie drzwi i jak je można otworzyć".

Już same takie działanie nie jest legalne...

Edytowano przez tgx (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze
Z całym szacunkiem ale jeżeli nie masz czasu na naprawienie luki, która powoduje włam i wykradzenie danych to lepiej zamknij/zawieś projekt do czasu aż ten czas znajdziesz.

 

Myslalem ze mi sie szybko zejdzie. Kilka rzeczy na bierzaco poprawilem a pozniej troche zycie mi terminy pokrzyzowaly ;)

 

Sent from my GT-S6500D using Tapatalk 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To idź zgłoś jak się czujesz urażony, wiem że tego nie zrobisz nie pytam dlaczego ;)

 

Skoro wskazywaliście luki to znaczy że robiliście "audyty". Jeżeli właściciel o tym nie wiedział przed to oznacza, "że chodziliście po domach i sprawdzaliście kto ma jakie drzwi i jak je można otworzyć".

Już same takie działanie nie jest legalne...

Te Twoje brednie też powinny być nielegalne. Jak chcesz marudzić to po napisaniu posta zamknij kartę zamiast wciskać "Dodaj odpowiedź". Miało miejsce włamanie, być może wyciek jakichś danych i dobrze, że jest to nagłaśniane. Poza tym jeśli faktycznie miało miejsce wskazanie autorowi luk to tym bardziej zasługuje to na wytknięcie na forum, które tym się z założenia zajmuje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro wskazywaliście luki to znaczy że robiliście "audyty". Jeżeli właściciel o tym nie wiedział przed to oznacza, "że chodziliście po domach i sprawdzaliście kto ma jakie drzwi i jak je można otworzyć".

Już same takie działanie nie jest legalne...

Tak, zrobiliśmy. I zrobiło to też zapewne sporo innych osób. Tyle, że my wskazaliśmy gdzie leży problem. A inni? Tego nie wiemy, ale jak się dowiemy, to być może ujrzymy bazę w internecie do pobrania.

 

Kamikadze, zanim wystawisz nową wersję serwisu, to się odezwij. Sprawdzimy czy czasem nie przeniosłeś tych dziur.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To może ktoś powinien poskanować Twoją sieć, zrobić audyty co? Nie pytając oczywiście o zgodę... Przecież to tak fajna hakerska zabawa.

 

 

Nie ma znaczenia to że mu powiedziałeś, ważne że robiłeś to bez zgody

Edytowano przez tgx (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale ja się z tym liczę, że cały czas ktoś skanuje moją sieć, aplikacje, które zrobiłem i szuka dziur. A nikt mnie się o zgodę nie pyta ;) Przecież to jest wystawione do publicznej sieci.

 

No nic.. czas trochę odpocząć po świętach..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niemniej nie jest legalne/etyczne itp skanowania/wykonywana audytów, obchodzenie zabezpieczeń i próby obchodzenia bez zgody/zlecenia osoby, którą się testuje. Tym bardziej dziwi takie podejście ze strony właściciela firmy hostingowej/wykonawcy wielu zleceń dla różnych klientów.

 

Dyskrecja i spokój nie gonienie za sensacją, która nikomu nie służy

Edytowano przez tgx (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tgx weź skończ tą błazenadę. Wytknął luki wcześniej, kamikadze jest amatorem jak sam wspominał i nie jest w stanie wszystkiego załatać, to racja. Ale zrobiłbym tak samo jak miłosz, widze, wklejam, tym bardziej że informował go o tych błędach, nie świadomy jego poczynań zrobił swoje. Przechowujesz jakiekolwiek dane użytkowników, hasła, maile, telefony, licz się z tym że odpowiadasz za bezpieczeństwo.

 

Kamikadze przyjął to dobrze, ale nie jest on bez winy bo takie sytuacje nie powinny się zdarzać, ale to w ogolę nie moja sprawa tylko osób które mu zaufały i jego. Ty za to bronisz go już zbyt mocno, a nawet posunę się o stwierdzenie że działasz na swoją niekorzyść.

 

Nie możesz powiedzieć że audyty są nielegalne, niektóre są bardziej legalne od drugich, inne mniej. Ale nie ma tak jak mówisz. W dowolnej chwili mogę przysiąść do WHT, badać każdy znak w jego kodzie i jeżeli coś znajdę i poinformuje o tym właściciela, jak najbardziej sytuacja jest prawidłowa i legalna. Górka zaczyna się natomiast wtedy, kiedy użyje tych informacji w celach szkodzących właścicielowi. To że miłosz znalazł takie błędy i go informował, leży tylko w dobrej woli, bo za takie testy kamikadze by słono zapłacił (mowa o pieniądzach, nie żadne groźby) jeżeli sam by je zlecał.

 

Sam siejesz tutaj zament.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@tgx: Miłosz bardzo dobrze zrobił ostrzegając, że ktoś mógł wejść w posiadanie loginu czy hasła do usługi, których inni mogli używać do logowania się w innych serwisach. W takim wypadku interes prowadzącego "pechową" usługę jest akurat najmniej ważny. Ważne jest to, aby reszta miała szansę zmienić na czas hasła w pozostałych usługach. Można by oczywiście poczekać, aż zawartość bazy trafiłaby na pastebin - wtedy byłoby to ultra profesjonalne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

. W dowolnej chwili mogę przysiąść do WHT, badać każdy znak w jego kodzie i jeżeli coś znajdę i poinformuje o tym właściciela, jak najbardziej sytuacja jest prawidłowa i legalna.

 

 

Tak myślisz? Poczytaj kod i wyślij info strony rządowej - zobaczysz jak szybko się przekonasz jakie to legalne i jak szybko otrzymasz zarzuty ;)

 

Ręce opadają, sami hakierzy na forum ;)

 

 

Jak ktoś Ci hacknie stronę to też będziesz klaskał uszami z zachwytu, że przyczynił się do poprawy bezpieczeństwa wytykając Ci że masz luki na stronie?

Edytowano przez tgx (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak myślisz? Poczytaj kod i wyślij info strony rządowej - zobaczysz jak szybko się przekonasz jakie to legalne i jak szybko otrzymasz zarzuty ;)

 

Ręce opadają, sami hakierzy na forum ;)

 

 

Jak ktoś Ci hacknie stronę to też będziesz klaskał uszami z zachwytu, że przyczynił się do poprawy bezpieczeństwa wytykając Ci że masz luki na stronie?

 

Hacknięcie strony, a wykonanie pentestu i poinformowanie właściciela to dwie zupełnie różne rzeczy, określane jako black i white. Widzę, że aplikacja zapisuje w lokalnym cookie na komputerze hasło i login w plaintextcie. Co robię? Zgłaszam to właścicielowi bądź śmieję się pod nosem i myślę jak można to wykorzystać. Nawet nie musiałem robić pentestu, po prostu taką rzecz zauważyłem. I myślisz, że serio nawet jakaś instytucja rządowa za takie spostrzeżenie pozwie mnie do sądu? Wątpię.

 

Jeśli jakakolwiek instytucja za "dobre rady" chce człowieka/firmę pozywać do sądu to jest krótko mówiąc amatorem w tej kwestii, a nie rzetelną firmą. Takie testy jak już ktoś wcześniej napisał wcale nie są tanie, a fakt że Kamikadze nie załatał dziur świadczy tylko o nim i nie można winić jakiejkolwiek osoby za to, a tym bardziej osób, które jeszcze chciały w związku z tym fantem pomóc.

 

Każdy człowiek uczy się na błędach, miałem konto na serwerstatus.pl, hasło akurat było jednorazowe i nie jestem z tego powodu jakoś strasznie przejęty, aczkolwiek potępiam to, że Kamikadze pomimo informacji niejako olał sprawę, czy z wyboru czy nie to nie jest w tej chwili istotne. Ważne jest to, żeby wyciągnąć wnioski i nie popełnić tego samego błędu w przyszłości.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Według mnie tgx ma w większości racje. Przecież to amatorski serwis. Nikt rozumny nie poda tam swoich prawdziwych danych bądź loginów i haseł które używa na co dzień.

Zastanawiam się czemu wycieki danych z serwisów z milionami rekordów w bazie bądź błędy np. w bardzo popularnej wtyczce do wp, W3 Total Cache was nie interesują tylko taki niszowy serwis, który nawet złamany nie wyrządzi wielkiej szkody.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Pokuć

Tak sobie wczoraj w robocie czytałem te wypociny pana @tgx i doszedłem do wniosku, że najlepiej będzie w/w panu poradzić aby poszedł się napić i położył spać. Dawno takiego pieprzenia tutaj na WHT nie widziałem...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×