Search in topic
Яндекс - все нашел.

6wings
t-bird:

дайте глянуть?

мне, вообще, давно было интересно - что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?

t-bird
6wings:

У нас с Вами эстетическое недопонимание друг друга

полное отсутствие визуальной культуры (а как следствие и визуального вкуса) - не порок. просто живите с этим. подавляющее большинство населения земного шара живет и не заморачивается этим абсолютно. я вот в музыке ни пса не понимаю… нравится/не нравится - вот и все критерии… однако, обладая необходимым для написания музыки багажом теоретических знаний, и конечно, аппаратной частью, даже не берусь этого делать (хотя зудит в пальцах бывает) ибо понимаю - выйдет смешно и криво.

6wings:

что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?

ну все просто: это общепринятое сокращение от *thunderbird* - ford thunderbird - машины, на которой мне было счастье ездить 7 лет - лучше машины этой у меня не было и не будет никогда уже 😉 в 96 году подогнала братва за долги одного комерса, с пробегом в 500 миль 😉

пы.сы. я на личности не переходил, просто глянуть хотелось, оставьте ваши ночные фантазии при себе

QwErT1999

Неуязвим сайт почтовиков, там поля вывода зашиты. Blind-inj тоже не проходит.
PS: Советую ставить фильтры запроса (удалять '), защититься от PHP-inj и если форум на vBulletin, то обновиться с версии 3.8.6, ибо она засчет дырки в поиске.
PPS: kyosho.com гляньте. Поля вывода открыты, пароль админа незашифрован. Взломал с легкостью.

t-bird
QwErT1999:

kyosho.com <…> Взломал с легкостью.

святое не трожте!

QwErT1999
t-bird:

святое не трожте!

Блин, я-жеж не сливаю оттуда iframe трафф, не меняю содержание сайта. Я просто взламываю, смотрю и все. Кому надо - готов сбросить логин/пасс админа.

ВитГо

Эхх… Антон, Антон, в УК РФ составом является сам факт взлома… а меняли вы чтото или нет - это уже идет как ущерб…

так что осторожнее с такими заявлениями и тем более с передачей логина\пасврорда админа - это будет подтверждать взлом… и взять могут достаточно быстро (при попадании возжи в определенное место нашим доблестным полицейским)…

поверьте, прецеденты есть… 😦
например в моем городе из последнего orinfo.ru/…/osuzhdena-khakersha-za-vzlom-odnoklass…
а вот из более серьездного www.xakep.ru/post/21054/default.asp?page=1

заметьте - никто разбираться в помыслах не будет… состав статьи УК незаконное получение доступа… и это все… а наступили последствия или нет… - это уже не важно… как впрочем не важно - получили вы доступ по хорошему (чтобы предупредить) или по плохому (просто посмотреть)…

в обоих случаях люди отделались вроде бы по минимуму… за исключением того что имея судимость с минимальным наказанием в виде штрафа - вы банально не сможете ни устроиться на какую нить более менее серьездную работу, ни даже взять кредит в банке… тот же Виталий Бородин одно время работал в банке, потом банк закрылся переконтовывался в одной организации (где и взломал и был пойман) - в банки больше не вернеться никогда 😦(( вопрос - нафига нужно было взламывать чтобы после уг. дела и суда - не иметь возможности хорошо устроиться и неплохо и главное гарантированно зарабатывать ? вот такая вот штука жизнь…

так что осторожнее… и не афишируйте если уж продолжаете этим заниматься…

V_Alex
ВитГо:

Эхх… Антон, Антон, в УК РФ составом является сам факт взлома… а меняли вы чтото или нет - это уже идет как ущерб…

Вы на возраст посмотрите. Он еще лет пять “неприкасаемый” для УК. А если эти годы не потратит даром, то к 16-и вполне сможет “подправить” свое “Дело” несанкционированным пуском “Томагавка” с какого-нибудь эсминца НАТО в Средиземном Море, на время отключив систему ПВО 😃.

Hight

ВитГо
а кстати, давно хотел у просвещенного спросить.
Если компании не нанесено никакого ущерба,
а) Какой компании смысл заниматься иском, это ведет к издержкам?
б) Как “по закону” доказать факт взлома? Ведь серверные логи не могут быть док-вом, а провайдеры врятли снифферят столько трафика. Более того, существуют простейшие трояны-прокси, пиратские врезки в сеть и тп.
в) Например, мой серв. взломали, на руках имею логи апача, куда мне пойти чтобы наказать?

ВитГо
V_Alex:

Вы на возраст посмотрите. Он еще лет пять “неприкасаемый” для УК. А если эти годы не потратит даром, то к 16-и вполне сможет “подправить” свое “Дело” несанкционированным пуском “Томагавка” с какого-нибудь эсминца НАТО в Средиземном Море, на время отключив систему ПВО 😃.

возраст на форуме не показатель…

ну и опять таки - попасть под какой нить оперативный материал может любой человек (даже ребенок)… и как потом это вылезет через 5 лет вряд ли вы сможете с прогнозировать…

я давно заметил что так называемые “хаккеры” на самом деле зачастую простые “apply’каторы” - никто особо ничего не пишет, а только применяют появившиеся нюки, да описания с профильных сайтов что и как можно взломать…

реально людей способных написать даже простейший вирус очень не много (зачастую по пальцам пересчитать)… - как не крути скачать какую нить подбиралку паролей и запустить ее на нескольких компах и потом напакостить меньше требует ума и соображалки… в лучшем случае эти люди способны написать какой нить алгоритм пузырьковой сортировки по лекции с универа… в худшем у них на компе нет ни одной IDE или даже какого нить транслятора бейсика… зато куча всяких программ для взлома скачанных с инета 😃

поэтому у нас и много так называемых хаккеров… в том числе 11 лет отроду…
начинают ради прикола и игры, и попадаются на всякой фигне… а потом начинают писать что их государство незаконно осудило…

так что ко всяким хакерам я отношусь более чем спокойно… их отлавливают регулярно… шьют статью УК, штрафуют и отпускают на свободу… а вот лет в 27-30 когда придёт им мысль о квартире или машине и они придут в банк (в любой) - и им откажут без объяснения причин - мне их действительно будет жалко… как жалко тех кто по глупости в 21 год взял в евросети телефон в кредит году так в 2007 и потом не стал платить и радовался что “самый умный”… сейчас приходят за кредитами уже будучи в браке (причем иногда в роли “всего лишь навсего” созаемщика или поручителя) - и их всех вместе бреют… вот тут то вопрос и назревает - а нужен ли так был тогда телефон в кредит ?!

P.s. интересно было бы взглянуть хоть на один проект уважаемого “хакера”…

p.p.s. кстати желающим по критиковать - мой веб проект (правда уже давно заброшен) http://www.orensoft.ru. это проект 2003 года… тогда писал на jsp (эхх… многое бы уже переписал… но актуальность прошла)

Hight:

ВитГо
а кстати, давно хотел у просвещенного спросить.
Если компании не нанесено никакого ущерба,
а) Какой компании смысл заниматься иском, это ведет к издержкам?
б) Как “по закону” доказать факт взлома? Ведь серверные логи не могут быть док-вом, а провайдеры врятли снифферят столько трафика. Более того, существуют простейшие трояны-прокси, пиратские врезки в сеть и тп.
в) Например, мой серв. взломали, на руках имею логи апача, куда мне пойти чтобы наказать?

Ущерб понятие относительное… зачастую наказав одного и раструбив - у многих желание повторить “подвиг” пропадает, а вот если промолчать - то так и будешь отлавливать то одну дыру то другую и латать то что напартачили

по поводу доказательств фактов взлома - не думайте что везде сидят профаны… спецы в отделах “К” уже давно не мальчики и многие там не только протирают штаны…

факт взлома фактически доказывается просто фактом нахождением файлов которые были копированы с закрытых областей сервера, логами, в том числе провайдера… как правило первый взлом проходит на ура… а вот при последующих попытках уже и накрывают - продвигаясь шаг за шагом…

или вы думаете что всякие анонимосы на самом деле были такие крутые ? - как показывают последние новости - скорее они просто были в роли “неуловимого Джо” (которого никто не ловил потому что он нахрен небыл никому нужен") - а как только начали разевать роток на что то более серьездное (лень смотреть куда они там полезли то ли в пентагон то ли в цру) - всех взяли за неделю…

по поводу куда идти - в милицию… тьфу, полицию… там вас направят в отдел “К”… и там общайтесь, предлагайте мысли как можно вычислить тех кто взломал, а уж сотрудники отдела имеют более чем достойный административный ресурс чтобы узнать то что не узнаете вы…

ну и для гурманов вот текст статьи УК

Статья 272. Неправомерный доступ к компьютерной информации

  1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо лишением свободы на срок до двух лет.

  1. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо исправительными работами на срок до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

еще раз прошу обратить внимание - в диспозиции статьи нет материального ущерба !! преступлением является факт получения незаконного доступа ! все остальное “блокирование, копирование” и т.д. - это фактически доказательство со слов… потерпевший всегда может сказать что сервер повис… и можно всегда найти свидетелей что сервер был не доступен… ну а если “народный умелец” чтото изменил - так пожалуйста в диспозиции есть “модификация”…

Hight

если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

интерепретируемый скрипт попадает под определение ЭВМ? (кажется понял, в ст. речь про информацию)
и все таки, доказать мне кажется очень сложно. Например, копированную информацию ещё найти надо, а модификацию и пр. можно делать через левый инет

Видно не зря, в новостях все студентов ловят.

ВитГо

подпадает…
доказать что либо всегда сложно… мы ведь наверняка так и не доказали проявившемуся хаккеру что не стоит этим заниматься 😃))

копируют информацию обычно на тот же комп с которого взламывают… кому то хватает ума использовать анонимные прокси… кому то нет… опять таки не все анонимные прокси на самом деле анонимные 😃))
опять таки - хак без возможности потом похвалиться - это не хак… так что если пошарить по сайтам всегда можно найти тех кто пишет что мол я взломал то-то и то-то… и эти люди обычно на эти форумы забывают приходить через проксю… в общем еще куча способов есть не хочу вам все раскрывать 😃 (как там у классиков - язык мой - враг мой ! 😃))

а студентов ловят - потому что как я и писал это не хакеры а “апликаторы” - скачали очередной нюк и давай его применять ко всему что под руку попадется… как правило этот нюк и срабатывает на произведении другого студента который просто не заморачивался особо защитой от взлома… либо на том кто положил болт на все инструкции (как в примере про Автовазбанк в Оренбург)
плюс еще язык, плюс еще необходимость вывесить что нить на сайте что мол взломана… ну а если еще и файлик картинку на сервер залить и на главной странице вывесить - так без этого вообще никак… (ну ладно, уговорили, еще одна подсказка -файл картинку нарисовать нужно, да наверняка еще есть несколько вариантов на вашем компе, да еще файл фотошопа со слоями (чтобы регарды добавлять на картинку) - вот вам и доказательство доступа и модификации (ведь залили на сервер файл - это тоже модификация!) и так далее и тому подобное)
не нужно думать что вокруг одни дураки… просто о взломах не часто заявляют… а те что заявляют очень часто раскрывают (особенно если взлом повторяется)

QwErT1999

Делаю попровку - информация была предоставлена лишь в кач-ве ознакомительной. Админ сайта(он еще жив?) был уведомлен об этом.

lurii
QwErT1999:

Админ сайта(он еще жив?)

у сайтов нет админов, только секретарша для вставки новостей.

ВитГо
QwErT1999:

Делаю попровку - информация была предоставлена лишь в кач-ве ознакомительной. Админ сайта(он еще жив?) был уведомлен об этом.

Антон, прочитай про судебное заседание (случай 2) в моем сообщении выше…
там была аналогичная ситуация.
Бородин Виталий, прочитал об уязвимости винды… потом скачал нюк и проверил свою сеть… потом решил проверить сеть ТТС (это наш Оренбургский провайдер)… нашел там не пропатченную машину… взломал ее…
написал на аську пользователю компа… тот его послал, Виталий скачал с его компа файл и послал ему аттачем по той же аське что мол без патча с компа можно утянуть все что угодно… - причем заметь, как и ты фактически уведомил админа… и предоставил файл украденный с компа в качестве “ознакомительной информации”… что произошло дальше можно прочитать там же…
если по русски - так своими благими намерениями сам себе сделал судимость… фактически ты, Антон, идешь тем же путем…
если уж и ломать - то молча… + никогда никому этим не хвастать… и опять таки осторожнее с заливкой и модификацией файлов (это большая глупость) ну и если что утянул - так прячь надежно и не на своем компе…

ну а самый лучший способ - это не заниматься этим… либо у владельца сайта который хочешь взломать спросить письменного разрешения (составить договор о тестировании уязвимости от хакерских атак) - и потом ломать… 😃 и тебе тренировка и человеку польза… - правда я не слышал чтобы в России заключались подобные договора или хоть ктото желал проверить сайт на уязвимость сторонними хаккерами все стремяться обойтись своими силами и малой кровью…

QwErT1999

Да скучные эти скули сами-по-себе. Сейчас уязвимых сайтов с хорошим содержанием почти нет. Ну вот с Kyosho можно iframe траффик лить, но это долго и глупо. С некоторых можно кредитки сливать, но это уже набор статей лет на 30, причем не в России. Я скуль выучил - попрактиковался и все. Еще одна галка в знаниях, вот и все.
PS: Нафига мне что-то там менять? Сайт уже года 3 не обновляется.

ВитГо

я думаю что кредитные карты уже мало с кого взять можно… для иностранных компаний почти везде paypal для наших assist (как то списывался с ними, хотелось на базе orensoft.ru посотрудничать)… по крайней мере я больше не доверяю никаким сервисам…

6wings

а вот, с недавних пор MySQL, вроде, не хранит пароли юзеров - только их свертки.
Это же должно затруднять? (в смысле "делать невозможным)

ВитГо
6wings:

а вот, с недавних пор MySQL, вроде, не хранит пароли юзеров - только их свертки.
Это же должно затруднять? (в смысле "делать невозможным)

теоретически должно затруднять 😃
но на деле вы же не знаете каким образом пароли пользователей решил хранить админ… я уже забыл но помоему для mySQL достаточно было сохранить пароль password(‘мой пароль’) - и сохранялся его хеш… гм… помоему это было всегда… по крайней мере еще в 2002 году я это использовал в некоторых своих проектах…
другое дело что тогда если пользователь нажмет кнопку “выслать мой пароль на е-майл” - этого сделать будет нельзя… - нужно будет генерить новый пароль, обновлять учетку пользователя, и отправлять ему этот новый пароль в качестве временного на емайл…
ну и вторая проблема обычно пароль к mySQL все равно храниться в скриптах выполняемых на сервере (скрипт ведь должен иметь возможность обращаться к базе данных)… по идее админить нужно так чтобы к mySQL из внешней сети обратиться было нельзя- ну это в принципе азы (помоему все до этого доходят)… но если на сервере есть код который можно модифицировать (например подставив свой запрос) и потом выполнить на сервере - вот вам и способ считать данные с СУБД…

интересно, а мой orensoft.com кто нить пытался сломать ? или он тоже в роли Неуловимого Джо ? 😉))
там проект написан на jsp… но тоже много всяких возможностей для взлома… помню как то там коряво была написана авторизация…

We use cookies and web analytics services. By continuing to use our website, you consent to the use of cookies or similar technologies on this website, including third-party statistics and web analytics services, which may in some cases collect and process information about your visit and activity. To find out more, see rules of this website.