Яндекс - все нашел.
Админ сайта(он еще жив?)
у сайтов нет админов, только секретарша для вставки новостей.
Делаю попровку - информация была предоставлена лишь в кач-ве ознакомительной. Админ сайта(он еще жив?) был уведомлен об этом.
Антон, прочитай про судебное заседание (случай 2) в моем сообщении выше…
там была аналогичная ситуация.
Бородин Виталий, прочитал об уязвимости винды… потом скачал нюк и проверил свою сеть… потом решил проверить сеть ТТС (это наш Оренбургский провайдер)… нашел там не пропатченную машину… взломал ее…
написал на аську пользователю компа… тот его послал, Виталий скачал с его компа файл и послал ему аттачем по той же аське что мол без патча с компа можно утянуть все что угодно… - причем заметь, как и ты фактически уведомил админа… и предоставил файл украденный с компа в качестве “ознакомительной информации”… что произошло дальше можно прочитать там же…
если по русски - так своими благими намерениями сам себе сделал судимость… фактически ты, Антон, идешь тем же путем…
если уж и ломать - то молча… + никогда никому этим не хвастать… и опять таки осторожнее с заливкой и модификацией файлов (это большая глупость) ну и если что утянул - так прячь надежно и не на своем компе…
ну а самый лучший способ - это не заниматься этим… либо у владельца сайта который хочешь взломать спросить письменного разрешения (составить договор о тестировании уязвимости от хакерских атак) - и потом ломать… 😃 и тебе тренировка и человеку польза… - правда я не слышал чтобы в России заключались подобные договора или хоть ктото желал проверить сайт на уязвимость сторонними хаккерами все стремяться обойтись своими силами и малой кровью…
Да скучные эти скули сами-по-себе. Сейчас уязвимых сайтов с хорошим содержанием почти нет. Ну вот с Kyosho можно iframe траффик лить, но это долго и глупо. С некоторых можно кредитки сливать, но это уже набор статей лет на 30, причем не в России. Я скуль выучил - попрактиковался и все. Еще одна галка в знаниях, вот и все.
PS: Нафига мне что-то там менять? Сайт уже года 3 не обновляется.
я думаю что кредитные карты уже мало с кого взять можно… для иностранных компаний почти везде paypal для наших assist (как то списывался с ними, хотелось на базе orensoft.ru посотрудничать)… по крайней мере я больше не доверяю никаким сервисам…
а вот, с недавних пор MySQL, вроде, не хранит пароли юзеров - только их свертки.
Это же должно затруднять? (в смысле "делать невозможным)
а вот, с недавних пор MySQL, вроде, не хранит пароли юзеров - только их свертки.
Это же должно затруднять? (в смысле "делать невозможным)
теоретически должно затруднять 😃
но на деле вы же не знаете каким образом пароли пользователей решил хранить админ… я уже забыл но помоему для mySQL достаточно было сохранить пароль password(‘мой пароль’) - и сохранялся его хеш… гм… помоему это было всегда… по крайней мере еще в 2002 году я это использовал в некоторых своих проектах…
другое дело что тогда если пользователь нажмет кнопку “выслать мой пароль на е-майл” - этого сделать будет нельзя… - нужно будет генерить новый пароль, обновлять учетку пользователя, и отправлять ему этот новый пароль в качестве временного на емайл…
ну и вторая проблема обычно пароль к mySQL все равно храниться в скриптах выполняемых на сервере (скрипт ведь должен иметь возможность обращаться к базе данных)… по идее админить нужно так чтобы к mySQL из внешней сети обратиться было нельзя- ну это в принципе азы (помоему все до этого доходят)… но если на сервере есть код который можно модифицировать (например подставив свой запрос) и потом выполнить на сервере - вот вам и способ считать данные с СУБД…
интересно, а мой orensoft.com кто нить пытался сломать ? или он тоже в роли Неуловимого Джо ? 😉))
там проект написан на jsp… но тоже много всяких возможностей для взлома… помню как то там коряво была написана авторизация…