parfemy-alito.cz SQL inj

BugTrack

parfemy-alito.cz SQL inj#
[link]

Nic prevratnyho..eshop.
(odpovědět)
Nemam | 77.48.126.*24.3.2009 18:49
re: parfemy-alito.cz SQL inj#
Verim, ze si ich na chybu upozornil, a az potom zverejnil.
(odpovědět)
Tom. | 93.184.74.*25.3.2009 12:09
re: parfemy-alito.cz SQL inj#
a to se jako musi? nejaky novy zakon? nebo si zase zasrani skiddies a lamy hraji na bile klobouky?
(odpovědět)
$-_-$ | 193.200.150.*25.3.2009 13:26
re: parfemy-alito.cz SQL inj#
$-_-$:Mas recht,k whitehat se naradim,tudiz pro Tom.,nikoho jsem neinformoval,ver mi,mam docela dost zkusenosti s informovanim nestoji to za to..(jen kdyz za to sou $).Muze mi srdce utrhnout kdyz na milw0rmu vidim zverejnouvani 0day,ktery sem uspesne vyuzival.Tu sql sem sem dal jen tak,byl sem zvedavy,kolik lidi se do me naveze.
(odpovědět)
Nemam | 77.48.126.*25.3.2009 14:18
re: parfemy-alito.cz SQL inj#
Nemam: Suhlasim, ze to informovanie za vela nestoji. Ja osobne davam kazdej firme (stranke) aspon jednu sancu, a podla toho, ako zareaguju, budem v buducnosti s nimi dalej komunikovat.
Ten odkaz o s urazanim bol adresovany pre $-_-$
(odpovědět)
Tom. | 93.184.74.*25.3.2009 14:44
re: parfemy-alito.cz SQL inj#
MWAHAHA
(odpovědět)
qaaz | 213.211.51.*25.3.2009 19:26
re: parfemy-alito.cz SQL inj#
Nerozumiem, preco sa hned snazis urazat. Nie, nemusi sa to. Je to slusnost.
(odpovědět)
Tom. | 93.184.74.*25.3.2009 14:41
re: parfemy-alito.cz SQL inj#
ja se neurazim. neni mi jasne podle ceho tak usuzujes. pouze jsem celou situaci se zverejnovanim komentoval jedinou vetou. schovavas se za slusnost pritom ti jde jen o to aby ses zviditelnil. aby sis mohl kazdy vecer rict "a zase o me vi jedna firma navic". slusnost je nakladat s (osobnimi) informacemi sverene zakaznikem tak aby nedoslo k jejich nechtenemu uniku. jak vidno toto zakladni pravidlo tenhle shop nedodrzel a nevim proc bych jim mel zadarmo pomahat kdyz oni z toho maji penize.
(odpovědět)
$-_-$ | 193.200.150.*25.3.2009 15:05
re: parfemy-alito.cz SQL inj#
Zle si si precital prvu vetu.
Nemozes vediet, o co mi ide z jedneho mojho komentu.
Uvediem konkretny priklad, <web na stahovanie titulkov k filmom>.com. Tuto sluzbu (stranku) mam rad a casto ju vyuzivam. Nedavno som na nej nasiel SQLI, samozrejme velmi vaznu. Ako sa zachovat ?
1. Chybu zneuzit, napr. ukradnut niekomu ucet a za jeho body si objednat nejaku vec ?
2. Nic nerobit, chybu si odlozit, niekedy sa vyuzije.
3. Oznamit ju adminovi, nech niekto neurobi bod 1.
Vybral som si tretiu moznost. To, ze sa nikto neobtazoval odpisat a chybu opravili, je druha vec, na zaklade ktorej budem v buducnosti postupovat podla bodu 2 :)

To , ze sa na nejaky parameter zabudne, este neznamena, ze admini kaslu na bezpecnost.

(odpovědět)
Tom. | 93.184.74.*25.3.2009 15:43
re: parfemy-alito.cz SQL inj#
Jojo,je to pravda,oni se zavazujou,ze osobni udaje zakazniku nebudou zverejneny..a jak vidis,tak to porusili..je mi jasny,ze tyhle by asi moc nezaplatili,takze sem je dopredu ani nekontaktoval..udaje na admina tam nejsou(popravde sem je teda nehledal)takze by tam nikdo nic prepsat nemel.Ten link je vlastne na nic,jen je videt,ze sql funguje :P
(odpovědět)
Nemam | 77.48.126.*25.3.2009 15:29
re: parfemy-alito.cz SQL inj#
Na toto pozor, je to omyl. Oni tie udaje nezverejnuju. Ty si obisiel ochranne mechanizmy (heslo) za ucelom dostat sa k citlivym datam.
Ono je to definovane v zakone a to neni tak celkom OK.
(odpovědět)
Tom. | 93.184.74.*25.3.2009 15:50
re: parfemy-alito.cz SQL inj#
gentlemen...
(odpovědět)
cURLy bOi | 217.195.168.*25.3.2009 15:57
re: parfemy-alito.cz SQL inj#
Nejsem pravnik,ale podle me,kdyz se zarucej,ze se nedostanou do rukou 3strany,tak musej udelat vsechno pro to,aby to tak opravdu bylo.Kdyz vememe nazor,ze 100% nelze zabezpecit nic,tak v jejich silach urcite je,aby stranky zabezpecili alepon na 99%.A mezi tyhle procenta urcite sql injection a jim podobne patri.Podle me to mas to samy,jako kdyby byla banka a nenainstalovala by si do pobocky napr. kamery,pohybovy cidla,mela zamky jeste z praveku a podobne veci.Pak by tu pobocku nekdo vykradl.Klienti by si pak narikali,ze jim nekdo ukradl penize a banka by se hajila slovy,my jsme se zabezpecili,penize bychom dobrovolne nikdy nevydali,avsak nepredpokladali jsme,ze nekdo muze prijit s modernejsim nastojem,nez je kyj a nase (ikdyz minimalne) bezpecnostni opatreni,prekonat(tady berme "minimalni zabezpeceni" jako heslo a modernejsi nastroj nez onen kyj napr. webovy prohlizec).
(odpovědět)
Nemam | 77.48.126.*25.3.2009 16:56
re: parfemy-alito.cz SQL inj#
Je na dotycnem, jak si objev zaridi. Bud ho vykeca (protoze je pro nej asi bezvyznamny, nepotrebuje ho), anebo si ho necha pro sebe a vyuzije/zneuzije. Oboje je spravne - trest a pouceni pro majitele, ktery ma dbat zabezpeceni. Kdyz necham na ulici auto s klickama v zapalovani, prikryte hadrem a budu naivne doufam, ze mi tohle "zabezpeceni" pomuze a karu mi nekdo ukradne - muj problem. Stejne bych mohl pokracovat s pripadem odemceneho bytu, odlozeneho mobilu na lavicce v parku (s tim, ze doufam, ze vecer ho tam opet najdu)..

A jestli slusnost? Jedina slusnost je snazit se nenapadat systemy, to se pak ale zaradis mezi stado, ktere systemove kona prikazy a jasne dane veci... Whitehat jen lezou do rite a doufaji, ze jim neco kapne; anebo jsou hlupaci, ze objev daji majiteli zdarma - muzou ho bud prodat (pentesting neni free - stejne jako cokoliv jineho na tehle Zemi) majiteli, anebo "druhe strane" :)

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail25.3.2009 18:00
re: parfemy-alito.cz SQL inj#
A co kdyz jen tak prijdes, omrknes, poucis se, pobavis se a jdes dal?
(odpovědět)
gtg | 85.160.2.*25.3.2009 23:16
re: parfemy-alito.cz SQL inj#
Whitehat jen lezou do rite a doufaji, ze jim neco kapne; anebo jsou hlupaci, ze objev daji majiteli zdarma

Myslim, ze takovi lidi to nedelaji pro penize, ale pro dobry pocit, coz konkretne TY asi nikdy nepochopis.
(odpovědět)
.( | ) | 90.176.138.*1.4.2009 7:34

Zpět
 
 
 

 		BBCode
© 2003–2025 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | Yzk1YjI