место в рейтинге
  • 193040
  • 956
  • 46
Нравится блог?
Подписывайтесь!

Как вы отнесетесь к тому, что ваш сайт сломали?

На все мысли, кои воспоспоследуют под этим заголовком, местного автора натолкнули некоторые события, участником которых приключилось стать. Вникните, любопытно.

И для начала, правда, задумайтесь  над этим вопросом. Ибо меня интересует мнение местных веб-мастеров, по этому поводу. Потому как, вопрос однозначно заслуживает внимания. Так получилось, что когда в поле зрения попадает что-нибудь интересующее, привык рассмотреть, пощупать и даже попробовать на зуб, со всех сторон и мест, с которых это только возможно. Может, это в каких-то случаях и не нужно, но что уж поделать. У каждого свои методы постижения явлений и процессов, происходящих в этом мире. И каждый их считает единственно верными. Ну по крайней мере я свои - точно. Но все эти лирические отступления хоть здесь и к месту, попробуем без философии.

В общем, довелось тут на днях похачить чужой сайт. Даже не просто сайт, а CMS.  Причем, сайт довольно известного, в определенных кругах, человека. Который занимается тем, что разрабатывает собственную CMS. Очень добротную. И которая мне сильно понравилась. Чем, собственно, и заинтересовало. Движок коммерческий, закрытый. Однако, имеется урезанная версия, которую есть возможность приобрести за символическую плату. Полнофункциональная  же версия оценивается очень не символически, а довольно-таки ощутимо. Но это не страшно, ибо двигатель, на мой взгляд, стоит тех денег.

Совершенно естественно, что процесс ознакомления с движком начался с урезанной версии, водруженной на локальный веб-сервер. Через  несколько часов это привело к тому, что был осуществлен несанкционированный админский доступ к сайту автора CMS, который под ней же и работает, неся в составе своем различные сервисы, и в том числе магазин любопытных электронных товаров местного производства. Все это было сделано вполне осознанно - просто в силу тестерской профессиональной привычки чего-нибудь расковырять:) Причем, как потенциальный клиент, имею твердую убежденность, что подобные действия были абсолютно нормальными. К тому же, двигатель позиционируется как хорошо защищенный от всякого рода злоумышленнических атак. С чем я в принципе согласен, в большей степени. Никаких действий пакостнического характера и прочих бесчинств изнутри не совершалось - просто ознакомление с полнофункциональной версией CMS. Исходя из того, что мне продукт этот интересен как возможному пользователю движка, совершенно адекватно тотчас же вернул автору админский аккаунт, отослав на мыл ему письмецо соответствующего содержания. Разумеется, ответ с той стороны не заставил себя ждать.

И вот тут-то начинается самый веселый акт Марлезонского балета. Который поверг меня в изумление. На той стороне человек встал в позу обиженного и оскорбленного, я был воспринят как некий вредитель-бездельник, а в ответ был получен упрек, что я совершил что-то недостойное, и реплику, что дескать, на днях должна была выйти свежая версия движка, а теперь этого не произойдет по моей(!) вине, что мои действия повлекли неоправданные временные затраты на исправление и доработку,  и (внимание!) бан по IP-адресу на доступ к сайту:) И вся дальнейшая переписка оставила двоякое впечатление об этом товарище. Особенно повеселил "бан". Ребячество какое-то, чесслово.  Хотя уже довольно давно наблюдаю за его разработками и читаю материалы, остался в недоумении от такой позиции. С одной стороны мне нравятся вещи, которые он делает и пишет, и с серьезным уважением отношусь к трудам, а с другой  - вот такая пьянка. Причем, на моих же глазах происходили изменения в структуре движка, закрывающие дыру. Что, однако, при желании, вряд ли спасет от повторной попытки взлома.

И вот теперь, серия вопросов, закономерно проистекающих из повествования. Неужели правильным было просто втихушку употребить уязвимость в своих целях? Причем не только на данном экземпляре, но и на паре десятков других клиентских сайтов, работающих на данной CMS, адреса которых тоже стали известны. Неужели было бы лучше, если бы это рано или поздно сделал кто-нибудь другой? И не факт, что из благих побуждений. Или может нужно было просто напакостить, в стиле школоты? Понятное ведь дело, что никому пользы от этого никакой. Зато есть риск очень невиртуально получить телесные или психические повреждения.  Да хотя бы элементарно - я не стал ничего трогать, а просто купил его и запустил бы свой проект на движке. И меня поломали. Такая вариация радужней?  И почему часть разработчиков относятся к тестированию, как к акту насилия над их творением?:) А другая часть относится к нему как к бесполезному занятию, эдакий "обезьяний труд". В каком месте я что-то неверно понимаю?  Где она, сермяжная правда-то?

А я сильно убежден в том, что ничего до конца доработанного и оттестированного не существует. И сломать можно все что угодно, дело лишь во времени. Но резонный вопрос - зачем? Стоит ли цель этого самого времени?  Кому нужно тестирование и стоит ли им заниматься?

Александр dr_Motor
Администрирую серверы с 2008 года (заявки на VPSADM.RU ). Занимаюсь созданием и развитием сайтов. Предоставляю рекламу на сайтах с целевой аудиторией в Казахстане. Частный интернет-маркетолог, помогаю в поиске клиентов и организации продаж через интернет.
4 марта 2011, 13:52
798

Загрузка...
Loading...

Комментарии

3dfx
0
0
Тяжело принять какую-либо сторону не зная всех аспектов. Но если был только взлом без потери данных, то я думаю это на пользу обеим сторонам
p.s. просто человек злится что его систему обошли, как успокоится наверное придет в себя ;)
Принимать чью либо сторону и нет необходимости) Вопрос заключается в следующем: если твой сайт поломали, но без беспредела, потери данных или чего либо подобного . Об этом в мыл скинули письмо и аккаунт админский вернули. Я бы только спасибо сказал за подобные действия. А систему обойти любую можно - это лишь вопрос затраченного времени и прилагаемых усилий.
zfree
0
0
Согласен. Ведь белые/серые хакеры занимаются взломами только ради интереса и повышения безопасности жертвы. :D
slider
0
0
Как показала моя практика, редко попадаются адекватные админы, которые могут принять на заметку свои оплошности..
Так что, лучше наверное юзать баги самому, всем похуй..
Я понимаю, если это лишь админ, и сайт на каком либо серийном двиге, вроде джумлы или вордпресса какого нибудь. Но в данном случае не просто админ, а разработчик CMS. И на ней в инете работают полноценные сайты, с магазинами, блогами и прочей фигней. И если просто юзать, это конечно можно. Но рано или поздно - изловят. И вот это уже не очень хорошо.
slider
0
0
Могу помочь с написание эксплойта, + напишем парсер для гугла, найдём все вульнерабельные сайты, зальёмся, прочекаем PR и продадим по 5WMZ за штуку дорвейшикам, баблос по полам..
Прокси + VPN .. и дело в шляпе..

А так, гиблое это дело заниматься благотворительностью..
Мало того что ругаться будут, ещё и тапок кинут, за попытку помочь..

За всю свою историю я столкнулся только с тремя нормальными админами, которые искренне поблагодарили что я им помог, а один ещё и набухали ромом..
да искать их и не нужно, там база была, со списком адресов всех сайтов которые крутятся на ней). Но нет, такая деятельность не по мне - благотворительность фтопку конечно, но и откровенным беспределом не хочу заниматься. И даже не потому, что это чревато может быть, а просто исходя из своих убеждений и принципов. К тому, же, как я уже сказал, разраб учел, что произошло и уже заштопал дыру. Даже невзирая на то, что на меня рассердился)
Ну так, чувствуешь удовлетворение, от своего работы?)
Переходи на тёмную сторону силы, она веселее..

P.S чёт знакомая история .. это не ижевская Cherry CMS.. )
Удовлетворение - не особо. А нет никакой ни темной, ни светлой. Есть только сила ;) По крайней мере у меня так. И у каждого человека свои рамки, что хорошо, а что плохо, что белое, а что черное. у меня давно нет такого деления - есть лишь факты и явления, и они не плохие или хорошие, они просто существуют. Без всякой эмоциональной окраски и оценки. Просто есть вещи, которые я хочу делать, а есть которые не хочу)

p.s нет, не оно)
Я это образно сказал, думаю смысл ты понял)..

А по факту, все события в нашей жизни имеют нейтральный оттенок, и только в нашей голове, они приобретают окраску..
Grey Hat //присоединяться ни черной, ни белой стороне не надо.
ewgen
0
0
Было раз такое, взламывали, грохнули базу(по не опытности забыл выставить права на config файл где данные для соединения содержались).
Баг я сам пропалил, но взломщик сам вышел на связь, вернул дамп(хотя и бэкап у хостера был), поговорили с ним, посмеялись над тем как я мог забыть права выставить.
Более того человек мне показал еще кучу багов у моего хостера, нормально пообщались, долго его контакт еще в аське висел.
Rulen
0
0
не хотел бы заметит, но все не могу удержатся что, были найдены пару уязвимостей и на юви! в плане уязвимости XSS
zfree
0
0
Чел. Займись Услугами Пентестинга. Собери команду и будет тебе и признание и профит...

Сам являюсь владельцем нескольких забугореных (маленьких) проектов. Сталкивался со взломом со стороны Turkish Defacers xDDD... Потерял 40 клиентов. Что было печально. Но не стал расстраиваться. Ибо теперь я узнал о новой уязвимости, и поднял на ещё один уровень безопасность своего проекта.

Я сам являюсь крекером в серой шляпе (аля Grey HAT). Год, два назад я рутил KZ хостинги без шума, письма писал админам, саппорту, но ответа не было. Потом занимался взломами (так ради интереса) сайтов ГОС закупок. Как не странно, сайты оказались очень слабо защищёнными. Обычные уязвимости вроде php инклуда, sql инъекции и xml инъекции. Писал всем админам, ноль благодарности. Хотя на этом они могли много, чего потерять. Я думаю, просто это их задевает. Думают типа сделали сайт ГОС закупок и они профессионалы а тут их хакает не пойми кто. :D

В прошлом году на сайте мегалайн был фотоконкурс. (мб кто нить помнит?!) Так вот, мне очень стыдно, что прикреплённая странница была до жути дырявая и содержала 20 XSS. Сниффер + СИ помогло похекать нашего любимого провайдера. Однако, мегалайн был первым из КЗ ресурсов кто поблагодарил за найденые уязвимости, но однако не заметили как я сам себя спалил :D. (накрутил себе и другим счётчики голосов, что помогло выйграть приз за второе место).

А вот зарубежные админы сайтов более приветливы. Помню, в команде похекали сайт провайдера Нигерии. Ну тут мы не удержались и дефейснули. Так вот, после прогуглив нашли мы главу компании в facebook и твиттере. Написали ему а он был в шоке. Мы с ним даже через скайп общались :D. Хотел заказать видео уроки взломов. И даже хотел заказать своих соперников. :DDD Но нам его предложение не было интересным.

Сейчас пентестинг вроде приносит прибыль людям. Думаю тебе стоит задуматься.
Да не, друг, мне это неинтересно. А без интереса и желания чем-то заниматься - сам знаешь. То что я тут описал - это ерунда, детские шалости, а так я не особо то и силен ни в программировании, ни в попутных вещах. Так, верхушки. Этот пост писался лишь как психологический вопрос к народу, и выражение моего недоумения, а не в попытке "пиара" моих способностей чего-нибудь поломать) Хотя, занимался этим довольно долгое время, ибо тестирование - оно и есть. Но у нас оно никому не нужно. Правда после поста обращались пару человек с просьбами поковырять их сайты, но я тоже особо не стал напрягаться, подсказал то что увидел сходу, и все на этом. Эту отрасль IT у нас воспринимают типа - некие "обезьянки" чего то тыкают, иногда удается чего нибудь найти. QA никому в кз не нужен. По крайней мере пока. Может я просто не там смотрю, и в каких то компаниях этому придают значение, но я еще не видел. Поэтому я сейчас и не занимаюсь этим, а в другое направление IT пошел.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

СМИ – ассистент провокаторов? Как гости из соседних стран сеют раздор в Казахстане

СМИ – ассистент провокаторов? Как гости из соседних стран сеют раздор в Казахстане

Инцидент с пьяным киргизским гостем на борту Air Astana, наверное, остался бы только во внутренних сводках авиакомпании, если бы г-н Доган, не поднял громкий крик о государственном языке.
openqazaqstan
17 авг. 2017 / 14:43
  • 12284
  • 178
Дайте Байбеку сломать и переделать город. Он хочет шагнуть вверх, а не бабло украсть

Дайте Байбеку сломать и переделать город. Он хочет шагнуть вверх, а не бабло украсть

Я в тогдашней Алма-Ате родился, вырос. В школу начал ходить пешком. Весь центр опползал. Все эти знаковые места помню как ещё не знаковые места. Никаких этих ностальгических страданий у меня нет.
Aidan_Karibzhanov
21 авг. 2017 / 16:25
  • 7661
  • 34
Подземная Акмечеть Бекет-Ата в Атырауской области – одно из самых сакральных мест

Подземная Акмечеть Бекет-Ата в Атырауской области – одно из самых сакральных мест

Его отцом был Мырзагул, матерью Жания, оба глубоко верующие. По рассказам, Бекет-Ата обладал богатырской силой, что в том числе помогало выбивать мечети в крепких скалах.
theYakov
21 авг. 2017 / 17:21
  • 3450
  • 3
Имеющий уши да услышит. Латиница касается только казахского языка

Имеющий уши да услышит. Латиница касается только казахского языка

Президент Назарбаев наконец-то разъяснил для всех, кто ещё не понял, очевидный вопрос, который всем в Казахстане очевиден. Елбасы повторил: на латиницу мы переводим казахский язык, и это не означает отказ от русского языка.
openqazaqstan
18 авг. 2017 / 16:23
  • 3579
  • 52
Байбек замахнулся на то, о чём давным-давно писали и говорили – «город для людей»

Байбек замахнулся на то, о чём давным-давно писали и говорили – «город для людей»

Какой «золотой квадрат»? Вам действительно это место кажется лучшим?! Вот когда Байбеку удастся воплотить в реальность скверы и парки, тогда я буду согласен называть старый центр золотым квадратом.
openqazaqstan
вчера / 16:53
  • 3342
  • 21
«Нас и здесь неплохо кормят», или почему я не собираюсь уезжать из Казахстана

«Нас и здесь неплохо кормят», или почему я не собираюсь уезжать из Казахстана

Я всегда теряюсь, когда слышу этот вопрос, потому что я так и не сумел выразить причину одной фразой. Давайте рассмотрим популярные варианты, и я объясню, что именно мне в них не нравится.
convoluted
21 авг. 2017 / 12:29
Надо научиться видеть скрытые экономические процессы за вспышкой национального гнева

Надо научиться видеть скрытые экономические процессы за вспышкой национального гнева

При полном отсутствии бюджетного жилищного строительства, целые аулы оседают в ветхих домишках, сквозь заборы которых насмешливо возвышаются башни "коктемов", "риц карлтонов" и "есентаев".
niyazov
19 авг. 2017 / 11:16
  • 2625
  • 68
Казахский язык выбирает алфавит, который считает необходимым. Дело не в латинице

Казахский язык выбирает алфавит, который считает необходимым. Дело не в латинице

У русскоязычных казахов два варианта, один - срочно отдавать детей в казахские школы, если видят их будущее в стране. Русскоязычным неказахам ещё меньше выбора. Надо становиться казахами.
Aidan_Karibzhanov
22 авг. 2017 / 18:08
  • 2538
  • 60
В Кокшетау строят два парка для молодёжи. Будут учтены интересы и любителей спорта

В Кокшетау строят два парка для молодёжи. Будут учтены интересы и любителей спорта

Общая площадь парка составляет 25 гектаров. На территории предусмотрено устройство прогулочных дорожек, площадок для установки аттракционов и павильонов различного назначения, цветников.
zhasakmola
17 авг. 2017 / 17:13
  • 2223
  • 1