Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Emkei | E-mail | Website | PGP7.11.2009 12:43
PS: castecne uz si to opravili, error reporting ovsem stale nevypnuli a XSS je rovnez netrapi.
Emkei | E-mail | Website | PGP7.11.2009 12:37
pravdepodobne nemas predstavu o tom, co vse se da pomoci SQL Injection delat, zdaleka to neni jen prace s tabulkami v databazi a ucet na te masine vubec mit nemusis.
myself | 78.128.195.*7.11.2009 12:22
Emkei, možno som sa zle vyjadril, tak to skúsim znovu. Myslel som to tak, že je to lokálny útok, na ktorý potrebuješ accout na tej mašine a administrátor vie spojiť account s tvojou osobou.

Samozrejme, s deravým serverom a proxy-wi-fi-kaviarňou je to iné a s mrežami už nie také žeravé. Ak sa ti však podarí dostať vzdialene roota, tak je úplne jedno, či to heslo k databáze máš alebo nie. Ak ho totiž nemáš, okamžite si ho zistíš.
Emkei | E-mail | Website | PGP7.11.2009 2:23
kdyby ten web nekdo upravil kdesi v kavarne nebo pres verejnou ci hacknutou Wi-Fi sit, jak bys ho chtel vypatrat a dostat za mrize? nijak...
myself | 78.128.195.*7.11.2009 2:16
Zdá sa mi, že robíte z komára somára.

Ak na serveri nebeží žiaden iný web a databáza počúva len cez nejaký ten lokálny unixový socket, tak v hesle 'xxx' nevidím žiadnu bezpečnostnú dieru.

Druhá vec, ak by tam aj bežali iné weby, pri slušne nakonfigurovanom a zaplátovanom serveri by identifikácia prípadného útočníka bola otázkou chvíľky. Áno, hack by bol škandál, médiá by si zgustli, ale útočník by si išiel posedieť. To by urobil len amatér.

Je to tak alebo sa mýlim?
Subber | E-mail6.11.2009 22:56
Emkei: dobra, co dobra, vynikajici prace :)

Komouse a socany nemam rad jinak bych vyhrady mel :), prozradit heslo ktere - jak se da zjistit stale plati - neni zrovna eticke :). Ale u techhle populistickych komousu mi to nevadi - nejen ze se nechovaji eticky, oni dokonce vice zadluzuji republiku. Vzhledem k tomuto bude u mne za borce i lamka co si pohraje.
Cohen | 80.95.118.*6.11.2009 21:00
Me to teda moc neprekvapuje, politici jsou obecne lide jineho zamereni :). Clovek, ktery je odbornik na pocitacovou bezpecnost, se bude primarne zivit necim jinym.

Spis predpokladam, ze v nejblizsi dobe nejaky "hacker" dane stranky upravi a verejna media budou nasledujici tyden resit zavaznou otazku, jestli jde nebo nejde o politicky boj, kdo za tim je a tak dale a bude se k tomu vyjadrovat kdejaky "odbornik".

A jen si rejpnu, databaze Postgre neexistuje ;-). Na dodrzovani spravneho jmena PostgreSQL je tym vyvojaru velmi alergicky, tak pozor na to ;-).
qteck | E-mail | Website | ICQ 3642508696.11.2009 19:51
Good job, mas neobycejnej bulvarni styl :-D.

----------
[link]

[link]

Někdy kokot kokotem není, někdy je to prostě jenom pták.
Emkei | E-mail | Website | PGP6.11.2009 18:39
DJVyn: malokdo mozna, maloco ale nikoliv. vyraz xxx je soucasti vsech zakladni wordlistu a i brute-force utok by netrval dele nez par vterin.
Duck | 85.71.165.*6.11.2009 15:52
v6ak: postgre dovoluje u injekci nekttere specificke ukony ktere maji globalni dopad na cely server.. jinymi slovy: pokud je admin vul a ma spatne nastavena opravneni pro postgre muze rovnou cely server odepsat :)

Stránky: 1 2 3 4