phpBB2 by Przemo

Przemo · **Pomógł:** 210 razy Posty: 3148

Cytat:

Wykryłem poważną lukę w zabezpieczeniach forum 1.12.5

Takie info dostałem na GG, potraktowałem to poważnie, spytałem o co chodzi.
Okazało się, że ktoś mu się włamał na forum, z logów które sprawdzał wynikało, ze osoba która się włamała, po prostu się zalogowała podając prawidłowy login i hasło admina na forum. Po włamaniu prawdziwy admin nie mógł się zalogować na swoje konto - hasło zostało zmienione.
Po przeanalizowaniu logów, okazało się, że parę minut wcześniej atakujący skorzystał z opcji przypomnienia hasła na email. Hmm, a jak uzyskał dostęp do skrzynki? Skrzynka była na wp.pl
Sprawdźmy co się dzieje gdy na WP korzystamy również z opcji przypomnienia hasła:

Kod:

Pytanie: Data twoich urodzin?

Dodatkowo poniżej w formularzu trzeba podać swoje miasto i datę urodzenia (to po to, żeby nikt obcy nie próbował odgadnąć pytania, które czasem jest łatwe)

Wydawać by się mogło, że atakował ktoś kto zna dobrze dane admina, ktoś znajomy? Niekoniecznie, w profilu na forum mamy wszystkie potrzebne dane: Datę urodzenia i miasto !!!

Ta sytuacja nie wynika z dużej niewiedzy admina, po prostu kiedyś założył konto na wp.pl i nie traktował poważnie, lub nie znal do końca zasady działania pytania pomocniczego.

Niech to będzie nauczką dla wszystkich adminów forum. Musicie mieć wyobraźnię bo inaczej wasze forum zostanie zaatakowane. Sposobów jest wiele.

Gadatliwa Kasia

azwel · **Pomógł:** 41 razy Posty: 402

Przemo, najsłabszym ogniwem we wszelkich zabezpieczeniach jest człowiek. Tak jak napisałeś, trzeba mieć wyobraźnię!

Crash_3d · **Pomógł:** 28 razy Posty: 369

Pamietacie co powiedzial Pan Mitnick o zabezpieczeniach za miliony$$ i człowieku?

Dlugi · **Pomógł:** 268 razy Posty: 1633

Mitnick nie zawsze lamal zabezpieczenia, czesciej ludzi

Crowman · Posty: 1

jeśli o Niego chodzi to w swojej książce pisze wprost: "nigdy nie łamałem zabezpieczeń. Zawsze najsłabszym ogniwem w łańcuchu jest człowiek"

kuziox · **Pomógł:** 6 razy Posty: 38

przecież azwel już to pisał... :roll:

Crash_3d · **Pomógł:** 28 razy Posty: 369

kuziox, przeczytaj moze wszystkie posty.

Zrobiles to?

To jeszcze raz....

Juz? Ok to teraz jeszcze raz... Juz wiesz dlaczego to napisal?

jak nie to jeszcze raz przeczytaj

kuziox · **Pomógł:** 6 razy Posty: 38

dobra niech Ci bedzie... zwalam to na stres międzyegzaminacyjny

vipex · Posty: 3

mnie rowniez kiedys sie włamali na forum , lecz w pore zdązyłem usunac takiego delikfenta..

Edel · **Pomógł:** 19 razy Posty: 181

vipex, włamali Ci sie na twoje super napisanie przez Ciebie forum ?

TheLestat · **Pomógł:** 21 razy Posty: 105

Najbardziej mnie rozwalają ludzie którzy na hasło wybrali sobie np. nick swojej 'miłości' znam takiego kolesia.... z ciekawości kiedyś spróbowałem się zalogować na jego poczte na wp i za drugim podejściem byłem w jego skrzynce.... koles poslugiwal sie tym emailem wszedzie i co jeszcze bardziej mnie rozwalilo nie kasowal starych wiadomosci.... mial ich ok 900 LOL a w nich wszystkie hasla gdy sie gdzies rejestrowal... zero pomyslunku... jakis gowniarz mogl mu np. wejsc na allegro i namieszac....

Ludzka glupota nie zna granic....

nadoll1_1 · **Pomógł:** 2 razy Posty: 49

faktycznie nie pomyślał. Dlatego ja zawsze mam trudniejsze pytanie a na poczcie najważniejszej czyli wp mam związane z hasłem

KoDav · Posty: 52

ja miałem włamanie na moj warez który był na skrypcie phpbb by przemo niewiem jak to mozliwe nikomu nie podawałem haseł do ftp ani nic a kiedys z rana wchodze na forum działy były dziwnie porostwajane tz. jak były sub fora to sie zrobiły jako normalny dział a jak były dzaiły to zrobiły sie z nich kategorie wszystkie działy były wyczyszczone od postów i w stopce pisało kilka dziesiat razy BAN OVER i do teraz niewiem kto to zrobił i jak to zrobił

Gracek · **Pomógł:** 222 razy Posty: 1781

przeciez Ty nie masz forum :roll:

Gadatliwa Kasia

Crash_3d · **Pomógł:** 28 razy Posty: 369