Archiwum - Luka ;)
Przemo - 05-04-2006, 15:11 Temat postu: Luka ;)
Cytat: | Wykryłem poważną lukę w zabezpieczeniach forum 1.12.5 |
Takie info dostałem na GG, potraktowałem to poważnie, spytałem o co chodzi.
Okazało się, że ktoś mu się włamał na forum, z logów które sprawdzał wynikało, ze osoba która się włamała, po prostu się zalogowała podając prawidłowy login i hasło admina na forum. Po włamaniu prawdziwy admin nie mógł się zalogować na swoje konto - hasło zostało zmienione.
Po przeanalizowaniu logów, okazało się, że parę minut wcześniej atakujący skorzystał z opcji przypomnienia hasła na email. Hmm, a jak uzyskał dostęp do skrzynki? Skrzynka była na wp.pl
Sprawdźmy co się dzieje gdy na WP korzystamy również z opcji przypomnienia hasła:
Kod: | Pytanie: Data twoich urodzin? | Dodatkowo poniżej w formularzu trzeba podać swoje miasto i datę urodzenia (to po to, żeby nikt obcy nie próbował odgadnąć pytania, które czasem jest łatwe)
Wydawać by się mogło, że atakował ktoś kto zna dobrze dane admina, ktoś znajomy? Niekoniecznie, w profilu na forum mamy wszystkie potrzebne dane: Datę urodzenia i miasto !!!
Ta sytuacja nie wynika z dużej niewiedzy admina, po prostu kiedyś założył konto na wp.pl i nie traktował poważnie, lub nie znal do końca zasady działania pytania pomocniczego.
Niech to będzie nauczką dla wszystkich adminów forum. Musicie mieć wyobraźnię bo inaczej wasze forum zostanie zaatakowane. Sposobów jest wiele.
azwel - 05-04-2006, 20:20
Przemo, najsłabszym ogniwem we wszelkich zabezpieczeniach jest człowiek. Tak jak napisałeś, trzeba mieć wyobraźnię!
Crash_3d - 05-04-2006, 22:08
Pamietacie co powiedzial Pan Mitnick o zabezpieczeniach za miliony$$ i człowieku?
Dlugi - 07-04-2006, 11:35
Mitnick nie zawsze lamal zabezpieczenia, czesciej ludzi
Crowman - 25-04-2006, 23:18
jeśli o Niego chodzi to w swojej książce pisze wprost: "nigdy nie łamałem zabezpieczeń. Zawsze najsłabszym ogniwem w łańcuchu jest człowiek"
kuziox - 26-04-2006, 11:57
przecież azwel już to pisał...
Crash_3d - 26-04-2006, 13:20
kuziox, przeczytaj moze wszystkie posty.
Zrobiles to?
To jeszcze raz....
Juz? Ok to teraz jeszcze raz... Juz wiesz dlaczego to napisal?
jak nie to jeszcze raz przeczytaj
kuziox - 26-04-2006, 17:35
dobra niech Ci bedzie... zwalam to na stres międzyegzaminacyjny
vipex - 14-05-2006, 09:36
mnie rowniez kiedys sie włamali na forum , lecz w pore zdązyłem usunac takiego delikfenta..
Edel - 14-05-2006, 13:10
vipex, włamali Ci sie na twoje super napisanie przez Ciebie forum ?
TheLestat - 23-06-2006, 08:26
Najbardziej mnie rozwalają ludzie którzy na hasło wybrali sobie np. nick swojej 'miłości' znam takiego kolesia.... z ciekawości kiedyś spróbowałem się zalogować na jego poczte na wp i za drugim podejściem byłem w jego skrzynce.... koles poslugiwal sie tym emailem wszedzie i co jeszcze bardziej mnie rozwalilo nie kasowal starych wiadomosci.... mial ich ok 900 LOL a w nich wszystkie hasla gdy sie gdzies rejestrowal... zero pomyslunku... jakis gowniarz mogl mu np. wejsc na allegro i namieszac....
Ludzka glupota nie zna granic....
nadoll1_1 - 23-07-2006, 19:27
faktycznie nie pomyślał. Dlatego ja zawsze mam trudniejsze pytanie a na poczcie najważniejszej czyli wp mam związane z hasłem
KoDav - 28-07-2006, 11:48
ja miałem włamanie na moj warez który był na skrypcie phpbb by przemo niewiem jak to mozliwe nikomu nie podawałem haseł do ftp ani nic a kiedys z rana wchodze na forum działy były dziwnie porostwajane tz. jak były sub fora to sie zrobiły jako normalny dział a jak były dzaiły to zrobiły sie z nich kategorie wszystkie działy były wyczyszczone od postów i w stopce pisało kilka dziesiat razy BAN OVER i do teraz niewiem kto to zrobił i jak to zrobił
Gracek - 28-07-2006, 11:58
przeciez Ty nie masz forum
Crash_3d - 28-07-2006, 12:06
KoDav napisał/a: | ja miałem włamanie na moj warez który był na skrypcie phpbb by przemo |
Gracek napisał/a: | przeciez Ty nie masz forum |
A czy on mówi, że ma forum? Z jego wypowiedzi można się dowiedzieć, że takie forum posiadał i do prowadzenia jego używał skryptu phpBB by Przemo.
|
|
|