No cóż - jeśli twierdzisz, że to sprawka konkurencji to:
- zabezpiecz logi
- zgłoś to na policję
Ale ... bazując na moich obserwacjach między innymi tego wątku należy dodać jeszcze:
- zapłać koszty sądowe po przegranej sprawie
pozdr.
Łukasz
ps: jak nic masz błędy w swoim serwisie.
--- edit: ---
ps2: Zatrudnij audytora
ps3: Mam nadzieję, że wiesz, iż to co piszesz w tym temacie może być odczytane za pomówienie przez konkurencję ?
Pełna wersja: niezabezpieczone dane, 2 różne serwisy
czemu mam wrażenie, że zmówiliście się przeciwko mnie ?
chyba nie umiem z wami dyskutować.
przeglądam właśnie logi serwera
ip: 217.116.101.221 (polkomtel centertel) - nic to nie daje bo co chwile ktoś inny ma to IP.
widać jak co kilka minut wysyłane są dane metodą POST do akcji profil/zaloguj
a następnie akcje zdjecie/usun
co do audytu to jego koszt wyniesie jakieś 3tys zł albo i więcej, w zależności od ilości spędzonych godzin przy tym.
nie wiem czy pan od tego audytu będzie wiedział więcej niż Wy na temat tego jak można zdobyć email i hasło z bazy.
jest jeszcze kwestia psychologiczna.
hakier jak już coś zrobi głupiego to chwali się tym, albo usuwa wszystko jak leci.
tutaj widać, że osobnik chciał zniechęcić te osoby na których profil się logował.
trochę paranoją zalatuje, ale jakieś wytłumaczenie musi być:)
chyba nie umiem z wami dyskutować.
przeglądam właśnie logi serwera
ip: 217.116.101.221 (polkomtel centertel) - nic to nie daje bo co chwile ktoś inny ma to IP.
widać jak co kilka minut wysyłane są dane metodą POST do akcji profil/zaloguj
a następnie akcje zdjecie/usun
co do audytu to jego koszt wyniesie jakieś 3tys zł albo i więcej, w zależności od ilości spędzonych godzin przy tym.
nie wiem czy pan od tego audytu będzie wiedział więcej niż Wy na temat tego jak można zdobyć email i hasło z bazy.
jest jeszcze kwestia psychologiczna.
hakier jak już coś zrobi głupiego to chwali się tym, albo usuwa wszystko jak leci.
tutaj widać, że osobnik chciał zniechęcić te osoby na których profil się logował.
trochę paranoją zalatuje, ale jakieś wytłumaczenie musi być:)
Inne paranoiczne wytłumaczenie - sam to robisz by potem na tej podstawie zdyskredytować konkurencję (która swoją drogą ma .... stronę 
... no dobra to był żart - nie podejrzewam Cię o takie coś
pozd.r
Łukasz
... no dobra to był żart - nie podejrzewam Cię o takie coś pozd.r
Łukasz
Cytat
hakier jak już coś zrobi głupiego to chwali się tym, albo usuwa wszystko jak leci.
Dobrze, że użyłeś hakier. ;P
To drugie, to cracker, ni hakier, ni haker...
Szczerze mówiąc, to zacząłem się już w tym wszystkim gubić. ^^.
Szanowny pan audytor nie bedzie wiedzial wiecej niz niekotrzy z nas (kilka osob zapewne takze zajmuje sie tutaj audytowaniem) ale on do tego przysiadzie, przegrzebie caly kod i spisze ci gdzie masz bledy, tutaj nikt za darmo ci tego robic nie bedzie.
Ps. czy ja jako jedyny znajduje zabawnym fakt ze axzx zajmuje sie od 5 lat tworzeniem aplikacji internetowych a nawet nie widzial co to xss ?
Ps. czy ja jako jedyny znajduje zabawnym fakt ze axzx zajmuje sie od 5 lat tworzeniem aplikacji internetowych a nawet nie widzial co to xss ?
Cytat(Puciek @ 17.02.2009, 09:55:36 ) 
Ps. czy ja jako jedyny znajduje zabawnym fakt ze axzx zajmuje sie od 5 lat tworzeniem aplikacji internetowych a nawet nie widzial co to xss ?
To raczej przykre jest. Rynek pełen jest "programatorów" i h4x00rÓw, którzy są później zdziwieni, że aplikacja nie działa przez jakieś tajemne moce. Bo przecież z całą pewnością nie miała dziur.Sory. Taki to wygląda.
Ja tam na takich nie narzekam, zapewniaja mi stala dobra prace w poprawianiu po nich.
no przepraszam Cie bardzo. ale cokolwiek czego człowiek może nie wiedzieć w dzisiejszych czas łatwo sprawdzić. nie posądzaj mnie, że mogłem tego nie wiedzieć. może i owszem, przeoczyłem to w kilku miejscach, a to z racji tego, że w Symfony pisałem pierwszy raz i nie przyszło mi do głowy, że jest to defaultowo wyłączone;) do tej pory pracowałem z Kohana, gdzie do XSS jest fajna funkcja któa automatycznie wszystko co złe usuwa.
okej. koniec tego tematu kpin.
okej. koniec tego tematu kpin.
Wnioskuje na podstawie twoich wypowiedzi w temacie, a nie kodzie.
Może zastanowi się ktoś, że hasła i emaile mógł znaleźć w innym serwisie i przegląda teraz wszystkie serwisy usera? Albo dostał sie do emaila i zauważył ze się u ciebie rejestrowaŁ?
Cytat(bim2 @ 17.02.2009, 23:25:43 )
Może zastanowi się ktoś, że hasła i emaile mógł znaleźć w innym serwisie i przegląda teraz wszystkie serwisy usera? Albo dostał sie do emaila i zauważył ze się u ciebie rejestrowaŁ?
hmm, nie wierzę. myślisz podobnie jak ja?
nie tak jak wszyscy ? ja myślę, że robił to na chybił trafił. po prostu przeglądał bazę modelek, później fotografów i wyszukiwał w swojej bazie te osoby.
to jest taki człowiek, że w tym swoim serwisie blokuje wiadomości, w których ktoś wpisze fotomody.pl. nie można wykluczyć innych działań złośliwych.
jeżeli jednak jest tak jak w tym temacie pisali, to jedyne wyjście jest takie, że szkodnik 'podsłuchiwał' kiedyś tam (kiedy te osoby się logowały, a niektóre robiły to dawno) a następnie w ciągu 2 godzin zalogował się do tych kont i wyrządził szkody.
trzeba mu przyznać cierpliwość i zdeterminowanie. bo czekał dosyć długo na ten atak. niektóre osoby ostatnio logowały się ponad 2 tygodnie temu.
jak do tej pory nie otrzymałem żadnej oferty kupna informacji o błędach, więc nadal nie wiem jaki mógł mieć w tym cel.
nie jestem z tego dumny, ale kiedyś także działałem na podobnej zasadzie. Wystarczyło dostac się do bazy jportala z hasłami niezakodowanymi i sprawdzać czy pasują do emaila i wtedy jak miałeś dostęp do emaila, to cała droga stałą przed tobą otworem
i wtedy jak miałeś dostęp do emaila, to cała droga stałą przed tobą otworem
Cytat(bim2 @ 18.02.2009, 14:59:22 )
nie jestem z tego dumny, ale kiedyś także działałem na podobnej zasadzie. Wystarczyło dostac się do bazy jportala z hasłami niezakodowanymi i sprawdzać czy pasują do emaila i wtedy jak miałeś dostęp do emaila, to cała droga stałą przed tobą otworem
i wtedy jak miałeś dostęp do emaila, to cała droga stałą przed tobą otworem jednym słowem porażka.
dzisiaj znowu 'zaatakował', IP: 217.116.104.54 czyli znowu PTK Centertel.
ale dzisiaj już mu tak łatwo nie poszło, bo większość użytkowników już zmieniło hasło.
niestety czterem osobom usunął zdjęcia:(
jak myślicie, Polkomtel może mi udostępnić jakieś namiary na tego fanatyka?
Ani nie może ani nie zechce, takie rzeczy tylko na wniosek sądu są udostępnianie.
Cytat(ucho @ 18.02.2009, 15:37:46 )
Ani nie może ani nie zechce, takie rzeczy tylko na wniosek sądu są udostępnianie.
tak myślałem, ale może da się określić w jakiś magiczny sposób położenie?
wystarczy z dokładnością do miejscowości.
Da się i adres uzyskać, włam się do PTK Centertel A tak na poważnie, to nic nie zrobisz. :]
A tak na poważnie, to nic nie zrobisz. :]
Cytat
dzisiaj znowu 'zaatakował', IP: 217.116.104.54 czyli znowu PTK Centertel.
Przecież to może siedzieć delikwent na GPRS-ie...
Cytat
wystarczy z dokładnością do miejscowości.
A chciałbyś, aby Ciebie każdy mógł namierzyć? Nie sądzę. Zabezpiecz w końcu stronę, a nie zadajesz retoryczne pytania...
Za 5 tys. pln zabezpieczę Ci stronkę, zajmie mi to weekend - a gdy to zrobię pomyślisz ... o matko, tyle lat programuję a tak mało potrafię.
Zainteresowany ?
pozdr.
Łukasz
Zainteresowany ?
pozdr.
Łukasz
Cytat(Kocurro @ 18.02.2009, 21:23:19 )
Za 5 tys. pln zabezpieczę Ci stronkę, zajmie mi to weekend - a gdy to zrobię pomyślisz ... o matko, tyle lat programuję a tak mało potrafię.
Zainteresowany ?
pozdr.
Łukasz
Zainteresowany ?
pozdr.
Łukasz
a jak Ci się nie uda to Ty mi zapłacisz 5 tys za obrazę majestatu ?
Stoi
Cytat(erix @ 18.02.2009, 21:18:13 )
Przecież to może siedzieć delikwent na GPRS-ie...
nie koniecznie GPRS. może 3G ?
Cytat(erix @ 18.02.2009, 21:18:13 )
A chciałbyś, aby Ciebie każdy mógł namierzyć? Nie sądzę. Zabezpiecz w końcu stronę, a nie zadajesz retoryczne pytania...
musiałbym wszystkim userom na siłę zmienić hasła.
Nie musisz zmieniać nikomu na siłę hasła - moja oferta jest aktualna. Co do ceny możemy się dogadać Wystawiam fakturę
pozdr.
Łukasz
Wystawiam fakturępozdr.
Łukasz
Cytat
nie koniecznie GPRS. może 3G ?
A czy to ważne? IP i tak leci to samo, z tego, co mi wiadomo.
Cytat
musiałbym wszystkim userom na siłę zmienić hasła.
Przynajmniej byś zapamiętał, żeby nie ufać w 100% frameworkom i patrzeć im na ręce, zwłaszcza, jeśli chodzi o bezpieczeństwo.
Taki mały offtopic i tutaj niekoniecznie by gnębić autora.
Jak widzę, że ktoś pisze, że zajmuje się programowaniem więcej niż 4 lata to zakładam, że ta osoba zaznajomiona jest z pojęciami z dziedzin zabezpieczania serwisów itp. itd. Ale przede wszystkim zakładam, że ta osoba umie myśleć ... umie przewidywać.
Może wymagam zbyt wiele. Z drugiej strony 4 lata nawet jak na programowanie hobbystyczne to szmat czasu, i jeśli ktoś bierze zlecenia robi dla innych a nie zna podstaw ... no cóż, potem klient się dziwi jak mu nie zrobię czegoś za 100 pln a inni zrobią za 50 pln.
Jednakże patrząc na to z czysto egoistycznej strony to mogę powiedzieć, że jestem z siebie dumny. W php zacząłem programować w 2003 roku, minęło 6 lat (samym programowaniem zajmuję się od 1996 ale wtedy to były początki początków więc nie ma co wspominać) i porównując moją wiedzę z innymi osobami co twierdzą, że programują 4, 5 czy więcej lat to kurcze .... naprawdę nie zmarnowałem tego czasu - może nie znam frameworków, ale potrafię napisać skrypt, który jest wystarczająco bezpieczny. Potrafię rozwiązać każdy problem przed jakim stanę (do tej pory nie było zagadnienia, które by mnie pokonało) i albo ja jestem takim geniuszem ( w co szczerze wątpię bo wiem, że jest wiele osób o wiele lepszych ode mnie) albo ...
[/OT] Koniec offtopica. Wracając do tematu
Już sam nie wiem co myśleć.
Rozumiem - zrobiłem serwis, działał w sieci, zaczynają się dziać dziwne rzeczy. Ktoś ma loginy i hasła - nie ważne skąd. Co robię .... tutaj muszę przyznać, że już raz miałem doczynienia z przełamaniem zabezpieczeń (w cudzym w serwisie ale pewnie u mnie też to mogłoby się zdarzyć więc to nie ma teraz znaczenia), moim zadaniem było zabezpieczenie odpowiednie.
Pierwsze co zrobiłem to wykonałem natychmiast backup i spytałem czemu poprzedni backup jest sprzed roku. Następnie dodałem w kodzie pułapki, które logowały różne działania i wysyłały na maila informację o nich. Dzięki temu w ciągu 4 godziny wykryłem dziurę, którą jak się okazało było posiadanie loginów i haseł. Po kolejnych 6 godzinach zmodyfikowałem skrypt logowania tak, że żaden robot nie mógł się zalogować. To znacznie spowolniło szkodliwe działania ale nie usunęło ich całkowicie. Po kolejnych 8 godzinach pracy skrypt był już wyposażony w kilka algorytmów pozwalających określić czy dopuścić akcję czy też nie, a także posiadał kilka dodatkowych zabezpieczeń.
Do dziś dnia nie było żadnego włamania na tenże serwis, mimo iż była masa prób.
W tym przypadku ... pierwszy post był dnia 16.02.2009 o godzinie 02:00:19 ... teraz mamy 18.02.2009 23:39. Czy zostały podjęte jakiekolwiek większe środki mające na celu zabezpieczenie serwisu ? Nie wiem tego, za to trwa debata o tym co zrobić. Kurcze ... to jakieś takie niepoważne w moim odczuciu.
Ale - każdy wie najlepiej jak należy postępować.
Pozdrawiam,
Łukasz
ps: wybaczcie wszelkie nielogiczności w tym co napisałem itp. ale jestem w trakcie maltretowania zagadnień z przetwarzania sygnałów i obrazów a to skutecznie odbija się na procesach myślowych
ps2: przepraszam jeśli kogoś uraziłem tym co napisałem
Jak widzę, że ktoś pisze, że zajmuje się programowaniem więcej niż 4 lata to zakładam, że ta osoba zaznajomiona jest z pojęciami z dziedzin zabezpieczania serwisów itp. itd. Ale przede wszystkim zakładam, że ta osoba umie myśleć ... umie przewidywać.
Może wymagam zbyt wiele. Z drugiej strony 4 lata nawet jak na programowanie hobbystyczne to szmat czasu, i jeśli ktoś bierze zlecenia robi dla innych a nie zna podstaw ... no cóż, potem klient się dziwi jak mu nie zrobię czegoś za 100 pln a inni zrobią za 50 pln.
Jednakże patrząc na to z czysto egoistycznej strony to mogę powiedzieć, że jestem z siebie dumny. W php zacząłem programować w 2003 roku, minęło 6 lat (samym programowaniem zajmuję się od 1996 ale wtedy to były początki początków więc nie ma co wspominać) i porównując moją wiedzę z innymi osobami co twierdzą, że programują 4, 5 czy więcej lat to kurcze .... naprawdę nie zmarnowałem tego czasu - może nie znam frameworków, ale potrafię napisać skrypt, który jest wystarczająco bezpieczny. Potrafię rozwiązać każdy problem przed jakim stanę (do tej pory nie było zagadnienia, które by mnie pokonało) i albo ja jestem takim geniuszem ( w co szczerze wątpię bo wiem, że jest wiele osób o wiele lepszych ode mnie) albo ...
[/OT] Koniec offtopica. Wracając do tematu
Już sam nie wiem co myśleć.
Rozumiem - zrobiłem serwis, działał w sieci, zaczynają się dziać dziwne rzeczy. Ktoś ma loginy i hasła - nie ważne skąd. Co robię .... tutaj muszę przyznać, że już raz miałem doczynienia z przełamaniem zabezpieczeń (w cudzym w serwisie ale pewnie u mnie też to mogłoby się zdarzyć więc to nie ma teraz znaczenia), moim zadaniem było zabezpieczenie odpowiednie.
Pierwsze co zrobiłem to wykonałem natychmiast backup i spytałem czemu poprzedni backup jest sprzed roku. Następnie dodałem w kodzie pułapki, które logowały różne działania i wysyłały na maila informację o nich. Dzięki temu w ciągu 4 godziny wykryłem dziurę, którą jak się okazało było posiadanie loginów i haseł. Po kolejnych 6 godzinach zmodyfikowałem skrypt logowania tak, że żaden robot nie mógł się zalogować. To znacznie spowolniło szkodliwe działania ale nie usunęło ich całkowicie. Po kolejnych 8 godzinach pracy skrypt był już wyposażony w kilka algorytmów pozwalających określić czy dopuścić akcję czy też nie, a także posiadał kilka dodatkowych zabezpieczeń.
Do dziś dnia nie było żadnego włamania na tenże serwis, mimo iż była masa prób.
W tym przypadku ... pierwszy post był dnia 16.02.2009 o godzinie 02:00:19 ... teraz mamy 18.02.2009 23:39. Czy zostały podjęte jakiekolwiek większe środki mające na celu zabezpieczenie serwisu ? Nie wiem tego, za to trwa debata o tym co zrobić. Kurcze ... to jakieś takie niepoważne w moim odczuciu.
Ale - każdy wie najlepiej jak należy postępować.
Pozdrawiam,
Łukasz
ps: wybaczcie wszelkie nielogiczności w tym co napisałem itp. ale jestem w trakcie maltretowania zagadnień z przetwarzania sygnałów i obrazów a to skutecznie odbija się na procesach myślowych
ps2: przepraszam jeśli kogoś uraziłem tym co napisałem
nie, nic nie zostało zrobione:)
cały dzień siedzę sobie na tarasie czytając gazety i popijając drinki:)
może rzeczywiście skończmy już ten temat bo robi się niepoważnie jak to Kocurro stwierdził (albo raczej odczuł).
też nie chciałem nikogo urazić.
oo jak to mi się udało napisać 2 posty pod sobą? jakiś bug czy co?
cały dzień siedzę sobie na tarasie czytając gazety i popijając drinki:)
może rzeczywiście skończmy już ten temat bo robi się niepoważnie jak to Kocurro stwierdził (albo raczej odczuł).
też nie chciałem nikogo urazić.
oo jak to mi się udało napisać 2 posty pod sobą? jakiś bug czy co?
Cytat(AxZx @ 19.02.2009, 00:05:13 )
oo jak to mi się udało napisać 2 posty pod sobą? jakiś bug czy co?
A dlaczego dwa posty po kolei to miałby być bug? Jakby to był bug to by Ci ich ładnie nie połączyło
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.