begin m...@i...pl

> Tak na prawdę jak by się chcieć za taki system brać to należy sobie
> odpowiedzieć na jedno pytania: po co!

O ile nie pisał go idiota, to nic się z nim nie da z zewnątrz zrobić...

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway

do góry

begin m...@i...pl

> Jestem ciekaw co by się stało, gdybym pomiędzy bramkami zmienił tablice
> rejestracyjne na inne.

Starczą roletki, dość powszechnie używane przez polaków zagranicą, gdzie
są podobne systemy...

> Albo zrobił coś takiego:
>
> http://
itsmebhavin.files.wordpress.com/2010/03/500x_for_tra
ffic_cameras.jpg

Nic, bo po pierwsze program nie przyjmie takich danych wejściowych, a po
drugie nie da się usunąć bazy z poziomu tego użytkownika. Nawet studenci
za flaszkę nie napisaliby tego tak beznadziejnie.

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway

do góry

On 12/04/2011 04:17 AM, to wrote:
> begin m...@i...pl
>
>> Jestem ciekaw co by się stało, gdybym pomiędzy bramkami zmienił tablice
>> rejestracyjne na inne.
>
> Starczą roletki, dość powszechnie używane przez polaków zagranicą, gdzie
> są podobne systemy...
>
>> Albo zrobił coś takiego:
>>
>> http://
> itsmebhavin.files.wordpress.com/2010/03/500x_for_tra
ffic_cameras.jpg
>
> Nic, bo po pierwsze program nie przyjmie takich danych wejściowych, a po
> drugie nie da się usunąć bazy z poziomu tego użytkownika. Nawet studenci
> za flaszkę nie napisaliby tego tak beznadziejnie.
>

No przecież nikt tu tego nie traktuje poważnie. Ale jeśli chcesz
zapoznać się z ilością skutecznych ataków dziennie, to polecam
www.zone-h.org. To nieoficjalna strona, gdzie hakerzy chwalą się
swoimi osiągnięciami. Najczęściej wykorzystywana luka? Joomla
oczywiście. Chociaż jest wiele stron, na które wystarczy spojrzeć
i wiesz, że jest podatna na ataki SQL Injwection czy XSS.
Najgorsze jest to, że przeprowadzić u kogoś audyt bezpieczeństwa
jest trudno. Administratorzy nie powiedzą, że jest potrzebny,
bo wyjdą na niekompetentnych. A zarząd wyjdzie na niekompetentny,
skoro zatrudnia niekompetentnych administratorów. A jak podmienisz
mu stronę aby go przekonać, to prokurator.

do góry

On 2011-12-04, to <t...@x...abc> wrote:

> Nic, bo po pierwsze program nie przyjmie takich danych wejściowych, a po
> drugie nie da się usunąć bazy z poziomu tego użytkownika. Nawet studenci
> za flaszkę nie napisaliby tego tak beznadziejnie.

Nie zdajesz sobie sprawy jakie babole przechodzą w "profesjonalnym"
oprogramowaniu za wielkie pieniądze.

Pzdr,
Krzysiek Kiełczewski

do góry

Dnia Sun, 04 Dec 2011 12:34:25 +0100, Krzysiek Kielczewski napisał(a):
> On 2011-12-04, to <t...@x...abc> wrote:
>> Nic, bo po pierwsze program nie przyjmie takich danych wejściowych, a po
>> drugie nie da się usunąć bazy z poziomu tego użytkownika. Nawet studenci
>> za flaszkę nie napisaliby tego tak beznadziejnie.
>
> Nie zdajesz sobie sprawy jakie babole przechodzą w "profesjonalnym"
> oprogramowaniu za wielkie pieniądze.

Babole ?
Jak myslisz, co bedzie jesli podobny program przestanie dzialac, bo
uzytkownik nieautoryzowany ?
Ktos siegnie za sluchawke i zacznie wyjasniac z supportami jak teraz dziala
autoryzacja jesli uzytkownik jest na Win7, serwer na win2008 z odpowiednimi
patchami, czy grant all to all naprawi program w przewidzianym umowa czasie
? :-)

J.

do góry

W dniu 2011-12-04 12:34, Krzysiek Kielczewski pisze:
> On 2011-12-04, to<t...@x...abc> wrote:
>
>> Nic, bo po pierwsze program nie przyjmie takich danych wejściowych, a po
>> drugie nie da się usunąć bazy z poziomu tego użytkownika. Nawet studenci
>> za flaszkę nie napisaliby tego tak beznadziejnie.
>
> Nie zdajesz sobie sprawy jakie babole przechodzą w "profesjonalnym"
> oprogramowaniu za wielkie pieniądze.

Żeby to wiedzieć, to trzeba mieć w tym jakieś doświadczenie, jakąś
wiedzę. Studenci "za flaszkę" robią różne rzeczy, a później z tych
studentów stają się poważnymi pracownikami za poważne pieniądze.
To o czym piszesz to nawet często zdradzić nie można, ponieważ to
tajemnica służbowa, a knotów jest cała masa - od drobnych po bardzo
poważne.

do góry

begin m...@i...pl

> No przecież nikt tu tego nie traktuje poważnie. Ale jeśli chcesz
> zapoznać się z ilością skutecznych ataków dziennie, to polecam
> www.zone-h.org. To nieoficjalna strona, gdzie hakerzy chwalą się swoimi
> osiągnięciami. Najczęściej wykorzystywana luka? Joomla oczywiście.

Większość skutecznych ataków jest przeprowadzana za pomocą powszechnie
dostępnych narzędzi na miesiącami czy nawet latami nieaktualizowane
oprogramowanie. Nawet minimalna higiena w administrowaniu danym systemem
by im zapobiegła. Często nie atakują nawet ludzie, tylko boty -- masowo.
A co do Joomli to fakt -- ale tutaj też często jest tak, ze ktoś
instaluje sobie taką Joomle, a potem po dwóch latach bez aktualizacji
dziwi się, że jakiś nastolatek odpalił sploita i wykorzystał dziurę znaną
od roku. ;)

> Chociaż jest wiele stron, na które wystarczy spojrzeć i wiesz, że jest
> podatna na ataki SQL Injwection czy XSS. Najgorsze jest to, że
> przeprowadzić u kogoś audyt bezpieczeństwa jest trudno. Administratorzy
> nie powiedzą, że jest potrzebny, bo wyjdą na niekompetentnych.

Bo wielu (większość?) administratorów taka jest. :-)

> A zarząd
> wyjdzie na niekompetentny, skoro zatrudnia niekompetentnych
> administratorów. A jak podmienisz mu stronę aby go przekonać, to
> prokurator.

MSZ brak przede wszystkim odpowiedniej polityki bezpieczeństwa -- audyty
powinny być oczywistością, bo niekontrolowany administrator upraszcza
sobie zwykle pracę ze szkodą dla bezpieczeństwa albo w ogóle nic nie
robi. Tyle, że -- z drugiej strony -- audytorzy też potrafią
przeprowadzać pseudo-audyty za grubą kasę. ;)

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway

do góry

On 2011-12-04, Artur Maśląg <f...@p...com> wrote:

>> Nie zdajesz sobie sprawy jakie babole przechodzą w "profesjonalnym"
>> oprogramowaniu za wielkie pieniądze.
>
> Żeby to wiedzieć, to trzeba mieć w tym jakieś doświadczenie, jakąś
> wiedzę. Studenci "za flaszkę" robią różne rzeczy, a później z tych
> studentów stają się poważnymi pracownikami za poważne pieniądze.

Często student za flaszkę takiego numeru by nie odwalił - co najwyżej
nie zrealizuje zlecenia w zadanym czasie.

> To o czym piszesz to nawet często zdradzić nie można, ponieważ to
> tajemnica służbowa, a knotów jest cała masa - od drobnych po bardzo
> poważne.

Wiem :)

Pzdr,
Krzysiek Kiełczewski

do góry

On 2011-12-04, J.F. <j...@p...onet.pl> wrote:

>>> Nic, bo po pierwsze program nie przyjmie takich danych wejściowych, a po
>>> drugie nie da się usunąć bazy z poziomu tego użytkownika. Nawet studenci
>>> za flaszkę nie napisaliby tego tak beznadziejnie.
>>
>> Nie zdajesz sobie sprawy jakie babole przechodzą w "profesjonalnym"
>> oprogramowaniu za wielkie pieniądze.
>
> Babole ?
> Jak myslisz, co bedzie jesli podobny program przestanie dzialac, bo
> uzytkownik nieautoryzowany ?
> Ktos siegnie za sluchawke i zacznie wyjasniac z supportami jak teraz dziala
> autoryzacja jesli uzytkownik jest na Win7, serwer na win2008 z odpowiednimi
> patchami, czy grant all to all naprawi program w przewidzianym umowa czasie
> ? :-)

Utrzymanie systemów to osobna bajka :)

Pzdr,
Krzysiek Kiełczewski

do góry

W dniu 2011-12-04 21:20, Krzysiek Kielczewski pisze:
> On 2011-12-04, Artur Maśląg<f...@p...com> wrote:
>
>>> Nie zdajesz sobie sprawy jakie babole przechodzą w "profesjonalnym"
>>> oprogramowaniu za wielkie pieniądze.
>>
>> Żeby to wiedzieć, to trzeba mieć w tym jakieś doświadczenie, jakąś
>> wiedzę. Studenci "za flaszkę" robią różne rzeczy, a później z tych
>> studentów stają się poważnymi pracownikami za poważne pieniądze.
>
> Często student za flaszkę takiego numeru by nie odwalił - co najwyżej
> nie zrealizuje zlecenia w zadanym czasie.

To jedno - poza tym takie zlecenia to się zazwyczaj weryfikuje.
Zresztą "świeżego" też się weryfikuje, choć napotkana rzeczywistość
świadczy o tym, że niekoniecznie, bądź z jakichś przyczyn zostało
źle, ponieważ...

>> To o czym piszesz to nawet często zdradzić nie można, ponieważ to
>> tajemnica służbowa, a knotów jest cała masa - od drobnych po bardzo
>> poważne.
>
> Wiem :)

:)

do góry