The Diary
Дневникът на Георги
<- Вторник, 12 Април 2005 | Начална страница | Четвъртък, 14 Април 2005 ->
Сряда, 13 Април 2005
12:00Меките потребители да търчат да пачват. Любимата им фирма, "доставчик" на софтуер след като повече от месец седя върху известните на всички уязвимости, реши все пак да пусне поправки. Бързайте, бързайте. Дано хората този път направят приятни червеци, който трият биоси и ебават фърмуера на харддисковете. Белким тогава ви дойде акъла (да бе, от умрял писмо).
13:35Въодушевен от микрософтските осирания реших да разгледам докъде са стигнали българските "уеб
програмисти" от миналият път когато си играех с тях.
С две думи стигнали са под кривата круша. Не можаха да се научат на основното правило
в сигурното програмиране - проверявай винаги и всичко. Ето списък на интересните неща,
който открих карайки под ред новинарски и подобни сайтове. Който иска да чупи от тук нататък
да си опича акъла. Ако някой пък смята, че е в самарианско настроение, нека съобщи на
уеб масторите на сайтовете, та дано си оправят бозите. Няма да казвам конкретно къде са
проблемите, не ми плащат за това, нека се помъчат сами да си ги открият:
dir.bg
- неограничено SQL търсене, може да се ползва за DoS, timeout-а е 30 секунди
- path disclosure
media.dir.bg
- path disclosure (ползват MySQL)
capital.bg
- sql injection (ползват sybase)
- path dislosure (php)
gospodari.com, moreotlubov.com, imashposhta.com всички сайтове на global vision продуцентите на тези предавания
- path disclosure (не проверяват имената на файловете, донякъде ги спасява open_basedir в php)
- ползват FreeBSD
monitor.bg
- sql injection (ползват mysql)
darik.net
- path disclosure
news.bg
- sql injection в stockmarket.news.bg
- неограничено SQL търсене (Намерени резултати: 40439), може да се ползва за DoS
- ползват SuSE
mediapool.bg
- неограничено SQL търсене (42063 намерени статии), може да се ползва за DoS
- sql injection (ползват postgres)
- path disclosure
- ползват Gentoo
ntv.bg
- path disclosure
- sql injection във ВСЯКО поле (ползват postgres)
- може да се сваля библиотечен код, който е интересен :)
- като гледам кода на login() функцията, можеш да се логнеш, като всеки потебител стига да му знаеш login-а
segabg.com
- XSS в търсачката
zone168.com
- sql injection (ползват mysql)
- path disclosure
banker.bg
- SQL injection (ползват MS SQL)
novinar.org
- path disclosure (много интересно извикват функции)
- неограничено SQL търсене, може да се ползва за DoS *много ЛЕСНО*
- сайта при всяко грешно подаване на параметри се успива, елементарен DoS
novinite.com
- неограничено SQL търсене (45709 results found)
trud.bg
- SQL injection (ползват Oracle)
imoti.net
- path disclosure
- SQL injection (ползват MySQL)
За една година положението от трагично е преминало към страшно трагично. Така е, то "уеб програмирането" понеже е за всеки. Сега за домашно си представете програмите, който ползвате колко са качествени, когато са написани от хора, който работят от 9 до 5 на заплата и никой не го ебе какви бози пише, само и само да изпълни поставената му задача. Така де, кода никой няма да го види, щото е "много тайно IP на компанията".
[ Коментари: 17 ]Коментари
Ми не са само тези :) Тези са просто 95% от тези който проверих.
У престъпУЕниА не се забърквам :-P~~
забрави да споменеш www.b-trust.org
все пак СЕРТИФИКАТИ за ЕЛЕКТРОНЕН ПОДПИС предлагат ората (за немалка сума).
А колко го*на има по БГ /и не само/ интернет - ламер кат мен да го е страм да провери.
ама така е, като "Чукча писател, чукча не читател"
За 50 лв баче - толкоз, шъ ползвам готови форуми, шъ ползвам готови теми, шъ ползвам ползвани гуми па кво са роди.
Жоро, помниш ли какво си говорихме за Секурити листата ?
Тези неща са точно, като за там. ;)
Помня, само дето ни хвана мързела и не я направихме тази листа.
Това ми харесва! Евала Жоро! :)
Има ли shell достъп на някои от sql injection-ите?
Вероятно можеш да си докараш шел достъп при MS SQL-а. При другите бази - зависи, по-скоро не.
Объркал съм се в news.bg, има "Намерени резултати: 110540" :)
http://mnet.bg/page.php?p=neshto_si :)
lele kakyv strashen hacker si! napravo se naakah ot strah. ili ot smiah mai beshe.
Брава Геш, научил си се да Гооглираш :)
http://www.google.com/search?hl=en&lr=&q=include_path%3D+%3F+dir+site%3Abg&btnG=Search
http://www.google.com/search?q=site:nato.int+filetype:xls+xls&hl=en&lr=&start=30&sa=N
:)
ре: ахаха
не може всички да сме като известните варненски "хакери", като ще се насираш прави го другаде и се научи да пишеш на български не на маймунски.
re: гуглеe
всички знаем как да използваме Google, за да намираме интересни неща. Има си цял сайт посветен на това, не ми пълни коментарите с простотии.
http://www.computerworld.bg/index.php?mode=callissue&year=20'05&num=15
'ahah', Моля? Не съм предендирал за такова звание...просто това ми направи впечатление!
http://www.helikon.bg/book.php?book_id=114'183
Fatal error: Maximum execution time of 30 seconds exceeded in /usr/share/php/DB/common.php on line 220
Disclaimer: Except where otherwise noted all opinions expressed here are personal
opinions of the author and do not reflect official opinions of my employer or
any other person, company or organization associated with the author.
Copyright: Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License. Текстът на договора за ползване на български
Copyright (cc) 2003-2011 Georgi Chorbadzhiyski. Some rights reserved.
Comments, texts and pictures not signed by me are property of their respective owners.
Страницата е генерирана от Glog v3.99-test
Де да беха само тези....
http://electroninvest.com/news/news.php?f=../../../../../../../etc/shadow
Написа Koko на 13-Apr-2005 10:37