-
Data: 2007-04-13 22:13:42
Temat: Re: home.pl - szanta?owane
Od: Paweł 'Róża' Różański <r...@r...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Michal Zalewski wrote:
>>> https://hack.pl/_admin/login.php?user=admin&pass=adm
in
>> Tylko, że tego nie robili... Żadnego przekazywania parametrów.
> No czyli co, kryterium sa w koncu parametry, czy zlozonosc - czyli jesli
> byloby login.php?pass=123 to jest to przelamanie zabezpieczenia, a jesli
> zrobili fubar/123, to nie jest?
I parametry, i złożoność, zapewne. A tak poważenie, uważasz, że dane były
_zabezpieczone_?
I druga sprawa. Ktoś korzysta z jakiejśtam usługi. Rzuca mu się w oko
możliwa dziura (ale nie ma pewności, że faktycznie działa). To co on ma
bidulek zrobić (testować samemu czy zawracać głowę adminowi)? A jeśli
znalezienie możliwości nadużycia czegośtam wymaga specyficznej wiedzy, czy
nie ma prawa żądać wynagrodzenia za wiedzę? Jak ma złożyć ofertę audytu,
nie sprzedając jednocześnie danych o dziurze? Dla mnie to jest główny
problem.
> A co jesli ktos korzysta z PATH_INFO?;)
A tego się przypadkiem nie da wyłączyć w konfigu php/serwera?
> Btw, ja sie nie staram wykazac, ze cokolwiek przelamali. Ja po prostu nie
> wiem, jak rozumiec wole ustawodawcy, ale mam niejasne przeczucie, ze
> nalezy podchodzic do tego jak do jeza.
A to na pewno. Ale używanie słowa 'włamanie' i wzywanie ABW na pomoc to w
tym kontekście IMO odpowiednio nadużycie i overkill.
>> Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
>> gania po sądach 'pryszczersów' jak któryś napisze Microshit?
> Ja tam widze pewna roznice miedzy obrazaniem kogos, a pisaniem mu, ze jak
> nie zaplaci dwoch bazylionow dolarow, to <costam>.
Chodzi o stosunek akcji do reakcji, przede wszystkim. Zresztą, wyobraź
sobie, że napisałeś książkę. Piszesz do redakcji, że jak nie zapłacą 200k
zł, to opublikujesz ją w necie (tak, wiem nie do końca to samo co pisać o
kimś). To też szantaż?
> Nie wiem, jak
> zareagowalby na to Microsoft, podejrzewam jednak, ze gdyby wygladalo to
> chocby pol wiarygodnie i pochodzilo z USA, doniesliby do FBI.
USA nie jest dobrym przykładem, tam posągi molestują studentów. ;)
Następne wpisy z tego wątku
- 13.04.07 22:19 RoMan Mandziejewicz
- 13.04.07 22:20 RoMan Mandziejewicz
- 13.04.07 23:01 futszaK
- 14.04.07 01:06 Michal Zalewski
- 14.04.07 10:07 spit
- 14.04.07 10:51 Krzysztof Halasa
- 15.04.07 10:13 Paweł 'Róża' Różański
- 15.04.07 18:53 spit
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-07-02 Realme 7 Na co zmienić?
- 2024-06-27 Prywatny parking? Pierwsze 10 minut bezplatnie
- 2024-07-02 znalazłem samochód ;)
- 2024-07-02 Pierwszeństwo łamane
- 2024-07-02 zamek
- 2024-07-02 Akumulatory VRLA
- 2024-07-03 Białystok => Inżynier DevOps Conexa First (Kontraktor) <=
- 2024-07-03 MĂźnchen => Test Development Engineer (m/w/d) <=
- 2024-07-03 Warszawa => Full Stack web developer (obszar .Net Core, Angular6+) <=
- 2024-07-03 Warszawa => Programista Full Stack (.Net Core) <=
- 2024-07-02 Kraków => Spedytor międzynarodowy <=
- 2024-07-02 Poznań => Senior React Native Developer <=
- 2024-07-02 Rzeszów => Frontend Developer (React) <=
- 2024-07-02 Warszawa => Fullastack (Java) Developer <=
- 2024-07-02 reparacje