Все идеи, предпочтения и предложения следует отправлять по адресу nullbyte0x00@gmail.com

16 нояб. 2010 г.

О безответственности администраторов в сети

Сегодня, ковыряясь в некоторых из старых текстовых файлах наткнулся на старые данные по одному сайту, а именно на логин и пароль админки и путь к шеллу. Этим данным уже около года. Я решил проверить, верны ли они, хотя в голове промелькнула мысль о том, что это глупо, и всё там уже закрыто и починено. Но... На моё удивление всё что было написано в текстовом файле совпало, и мой шелл, и админка, и тогда я решил написать мини статейку, а может описание этого опыта, дабы администраторы, прочитавшие это, задумались.
Итак, что же это за сайт такой деревянный подумали вы, а вот не тут то было, сайт совсем даже не деревянный. Это сайт торговли, а точнее аукцион, а это, в свою очередь означает что там крутятся деньги, то есть сайт этот должен быть очень хорошо защищён. Кроме того, сверх 33 тысяч зарегистрированных пользователей и более 400 тысяч подключений пользователей к сайту. И число пользователей растёт. Куда же смотрит администрация? Наверно ворон считают, я не знаю...
Чтоб не описывать каждый недосмотр этого сайта(ибо можно и матернуться), я опубликую список, пропущенных администраторами(хотя хочется их назвать просто бездельными лодырями-чайниками), вещей.

Итак, что мы имеем:
1. Одна из самых популярных уязвимостей в сети, уязвимось базы данных.
2. Шелл залит в главную папку сайта.
3. Пароли пользователей и их эл. адреса хранятся в чистом виде, никаких хешей и т.д.
4. На домене еще около 100 веб ресурсов, к которым имеется доступ через залитый на этот сайт шелл.

И вот этим пунктам уже около года, и я уверен что это еще далеко не всё. 80% проверенных мной данных пользователей, а именно эл.адреса и пароли совпадают с действительными. А избежать всего этого можно просто просмотрев исходники веб ресурса, всё на виду как я уже писал. Вот такие вот ответственные администраторы..

Я надеюсь что эта информация поможет усовершенствовать защиту веб ресурсов и усилит внимания администраторов, ведь из-за таких вещей могут возникнуть проблемы, а если на вашем ресурсе крутятся деньги, то эти проблемы могут сломать вам жизнь так же просто как я смог проникнуть на закрытые данные ресурса.

Хоть это всё и не принесло мне дохода, а администрации потерь, так как я не копаюсь в чужом, но есть таких людей, которые обязательно нагадят, даже потехи ради, так что, будьте осторожны, соблюдайте хотя бы элементарные правила безопасности для ваших интернет ресурсов и всё будет хорошо.

Спасибо за внимание.

Все права принадлежат 0x00, при частичном или полном копировании ссылка на webxakep.blogspot.com и автор обязательны.
Автор: 0x00 на 16:23

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)