Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kalózkodás, rosszalkodás...

2007.11.09. 17:35 | buherator | 116 komment

Kezdek már roszul látni az egyik szememre, de úgy érzem hogy a tegnapi lefolgalásokról itt is érdemes (még több) szót ejteni. Itt ugyanis nem egyszerűen arról van szó, hogy megbukott néhány sportkocsiban furikázó bűnöző, meg néhány srác nem kapja meg a napi pornó/sorozat adagját.
FTP szervert üzemeltetni jogvédett tartalommal bizony nem szép dolog, pénzt kérni a letöltésért meg már túlmegy pár határon (ameddig nem pl. itthon nem elérhető tartalmakról beszélünk...). Torrent trackert üzemeltetni szintén nem szép dolog (legalabbis bizonyos tartalmakkal), azonban teljesen legális.
Megalapozatlanul, csak úgy elvenni valaki más tulajdonát nem szép dolog. Szar minőségű terméket előállítani majd a vásárlóra erőszakolni (ez a legális, ezt kell megvenni) szintén. Kiadóként arról papolni, hogy mennyire megkárosítják szegény művészeket a kalózok, aztán kedves vásárlók pénzén cirkuszt rendezni a SYMA csarnokban ugyancsak piszkálja az ember igazságérzetét. Hologrammos matricával tolvajnak bélyegezni sok millió (milliárd?) embert, ezzel együtt a vélt bűnükért fizetendő büntetést bevasalni tiszességtelen, jogellenes, szemét dolog!

Bár tegnap a BSA lett kivesézve, úgy tűnik, hogy az akciót az ASVA és a ProArt indította. Utóbbiak úgy tűnik, idiótákra bízzák a munkát:

http://www.hangfoglalas.hu/?m=/../../index
http://www.hangfoglalas.hu/admin/

A jelszó kitalálását mindenkire rábízom ;) SQL inject is lesz benne.
Update: a ProArt oldala is bugos...

http://www.proart.hu/?menu=hirek&id=65'

Az információk persze csak tájékoztató jellegűek, de azt azért csendben megjegyezném, hogy laza csuklómozdulattal tönkre lehet vágni mindkét oldalt, ha van az emberben erre hajlam...

Címkék: artisjus szabadság asva proart

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Aamin 2007.11.09. 22:08:46

Ilyen nincs, elképesztő, nekem másodjára sikerült, de csak mert elsőre nem gondoltam, hogy ilyen egyszerű lesz XD

Rögtön egy ilyen fogadott: "Az oldalon adminjelszóval tartózkodók ipcímét ellenőrizzük!!!"
:D

Gratulálok, nem lenne egyszerűbb hozzáértőket foglalkoztatni, vagy azok közül senki nem akar jogvédő szervezetnek dolgozni (érthető, a jó informatikus kocka, aki az interneten szerzi be a napi sorozat/heti játék-adagot, máskülönben pl. hogy követné a Csillagkapu Atlantis sorozat epizódjait, a DVD változat csak félévekkel később szokott kereskedelmi forgalomba kerülni, a Scifi Channel-t pedig nem lehet fogni M.O.-n)

Vérhányó Kőkereszt 2007.11.09. 22:14:11

"Az oldalon admin jelszóval tartózkodók IP címét rögzítjük!" áhháhá :D

lol 2007.11.09. 22:17:44

Elméletileg ilyen esetben még a szolgáltató ki is adhatja hogy ki tartozik a IP-hez.......mivel gondolom hack-elésnek minősül a dolog.....:)

aaa 2007.11.09. 22:23:52

Es mit ellenoriznek az IP cimemen? hogy 32 bites-e? ;)

Sehol nincs kiirva az oldalon hogy illetektelen nem tartozkodhatnak ott, szal gyakorlatilag azt csinalsz amit akarsz ha tudod a jelszot.

IJB ?

Ecet 2007.11.09. 22:24:20

Ha az autódat tárva nyitva hagyod és elvisznek belőle valamit, akkor téged is megbüntethetnek, hogy elősegítetted a bűnözést...

Ecet 2007.11.09. 22:27:00

Miért nem változtatják meg a jelszót? Ilyen hülyék nem lehetnek...

lol 2007.11.09. 22:29:57

azért nem változtatják meg szerintem mert észre vették hogy mi van. Nem olyan oldalnak néz ki ahová minden nap felmegy az admin...(persze ma sok admin felment :)))

asdfsadf · http://asdasdsad.hu 2007.11.09. 22:30:41

Elméletileg ilyen esetben még a szolgáltató ki is adhatja hogy ki tartozik a IP-hez...

Bizony. és? Ez mit bizonyít? Azt, hogy azon a kábelen léptek be. De ki? én? anyum? a szomszéd csatlakozott a wifimre? vagy valaki használta az amúgy elérhető ingyenes tor/proxymat?

cadeyrn 2007.11.09. 22:35:39

"Az oldalon admin jelszóval tartózkodók IP címét rögzítjük!"

mégjóhogymá logol a szerver :D

bakter... vagy 5 cuccot beírtam előtte, egyszerűen nem akartam megpróbálni ezzel, annyira primitív.

BlueBunny · http://bluebunny.freeblog.hu 2007.11.09. 22:37:08

Összekapcsoltam hálózatba a laptopomat, a kenyérpirítót, a mosógépet meg a hajsütővasat, és az egyesített számítási teljesítményükkel 8 óra alatt feltörtem ezt az igen bonyolult, összetett jelszót.

laca 2007.11.09. 22:37:21

LOL, elsőre!
Bazmeg, fenyegetőznek, ahelyett, hogy átírnák!

És ha ssh-val néztem az egyetemi gépről? Hm??? ELTE reszkess! :D

Aamin 2007.11.09. 22:38:00

A wifi-t illetően úgy tudom te vagy a felelős, amennyiben a vezetéknélküli hálózat a nyílt hozzáférés elől nincs megfelelő módon védve (WEP/WPA titkosítás). Persze azt derítsék ki, hogy nem volt védve xD

Proxy jó, tipikus IJB :D Ha meg is találják a proxy szervert, Szingapúrba egy repülőjegy sokba kerül, és amúgy is hiába fáradnának el oda :-))

Ahogy az IP cím önmagában is IJB, ahogy asdfsa.. is kifejtette, legfeljebb letartóztatják az egész családot, meg a szomszéd kissrácot is. :D

asdsadsa · http://adssadsad.com 2007.11.09. 22:40:42

elől nincs megfelelő módon védve (WEP/WPA titkosítás). Persze azt derítsék ki, hogy nem volt védve xD

NA most aki admin///hadd ne irjam le párossal védi a "rendszerét" az nekem ne ugasson a védelemről..
köszi. :-)

efefewf · http://fefewfwe.hu 2007.11.09. 22:41:29

Félre ne értsd, nem Téged támadlak. :-)

Aamin 2007.11.09. 22:41:50

"mégjóhogymá logol a szerver :D"

Már azt se sokáig úgy láttom, ha ilyen lámák.

Bluebunny, Ön még mindíg zseniális :))

dr. trafik nomac 2007.11.09. 22:42:38

Ez nagyon LOL, remelem a szalacsi tetszett midnenkinek :)

N0v3mb3r 2007.11.09. 22:43:30

hideIP-t vagy vmi hasonló proxy-t neki, és kereshetik Indiában az ip tulaját :D

figyelmeztetek · http://sdfdsfadf.hu 2007.11.09. 22:47:30

Mindenkit figyelmeztetek, hogy rosszra ne használja, meg semmi törvénybeütközőre és csak saját felelősségre!!!

:-)

admin admin 2007.11.09. 22:50:37

OMFG LOL másodikra megvolt :D

bárki 2007.11.09. 22:52:38

nem bírtam ki és kipróbáltam, persze sikerült. most nagy szarba kevertem magam?

zsoltee 2007.11.09. 22:55:14

Közületek valaki törölölgette a beírásokat, vagy egy elkeseredett ügyfél, vagy amibe bele se merek gondolni: a rendszergazdi nem tudott kirakni minket? :D és ilyen programozók megélnek magyarországon...

baspy 2007.11.09. 22:55:39

ezt nem gondoltam volna, de tényleg én még nem...áááá ez nevetséges...asszem mármint a jelszó. Azt is mondhatnám botrány!
üdv mindenkinek

Aamin 2007.11.09. 23:14:16

Komoly harc folyik éppen :D 'Lassu vagy haver :P' hadakozik a bejegyzéseket folyamatosan törlő 'Az ip címeket ellenőrizük'-el, aki talán a balfasz rendszergazda :-))

na. 2007.11.09. 23:14:25

ize. lehet enis vak vagyok, de a hangfoglalason nem latom az asva logojat/kezenyomat/akarmit.

benanak benak, mer meg eniskitalaltam az admin jelszot, de egy zenei kiallitasnak meg a music export hungarynak szvsz nincs nagy befolyasa az asva -ra.

na. 2007.11.09. 23:21:22

ecet : lehet azert nem modositanak jelszot, mert az az oktober 5-7 ami az idopontra irva vagyon, mar egy honapja elmult... ; majd a kovetkezo kiallitasra ugyis ujrairjak az egeszet.

Aamin 2007.11.09. 23:24:02

@na.: Van abban valami amit mondasz, most nézem az eredeti oldalon tényleg nincs az Asva-ra hivatkozás.

Az meg, hogy majd a következő kiállításra újraírják az egész oldalt, addig nem cserélnek jelszót XD XD LOL

Aamin 2007.11.09. 23:25:31

Ja, hogy ProArt-os, ezt én is benéztem.

zsoltee 2007.11.09. 23:26:55

Én azt nem értem, hogy ha nekiálltak törölgetni, meg iploggal fenyegetőzni, akkor miért olyan bonyolult
a) ip-t bannolni
b) session-t érvénytelenné tenni
c) jelszót megváltoztatni :D

na. 2007.11.09. 23:27:04

ha esetleg elarulnad honnan veszed, hogy a hangfoglalas proartos...
egy kozos pontot talaltam, az "egyutt a zeneert" logot a ket oldalon, de azt nem hiszem, hogy ez a proart logoja.

na. 2007.11.09. 23:33:24

esetleg arra nem is merek gondolni, hogy azt az 'adminokat logoljuk' vagy mit valami trukkos fioka hozta letre, aki szinten kitalalta az adminpasst.

gorr 2007.11.09. 23:39:54

Én sajnos végig sem gondoltam, és beléptem. Mondjuk nem csináltam semmit, de ott jártam öt másodpercig. Hozzáteszem, ez a jelszó... Hát nem kellett kétszer próbálkoznom.
Akkor most mi lesz velem? Kiad a szolgáltatóm, és felnégyelnek?

vasdf · http://sdfsfdsf.df 2007.11.09. 23:42:24

Valószínűleg már úton vannak a nyomozók és rádtörik az ajtót, majd felkiálltanak, hogy "STATÁRIUM" és azonnali tarkólövéssel kivégeznek.

Semmi sem fog történni. Kb ennyi.

buherator · http://buhera.blog.hu 2007.11.09. 23:44:33

@na

Már egy ideje "figyelemmel kísérem" ennek a bandának a működését. Az Együtt a Zenéért anno ProArtos buli volt ha jól emlékszem, a Hangfoglalás ennek az utóprojectje.

proart.hu/?menu=hirek&id=56

Egyébként szerinted miért van az hogy ebbe a gyönyörű mozgalomba csak "nagykiadós", orrba-szájba játszott muzsikusok "szálltak be"?

Persze elképzelhető hogy csak én vagyok paranioás...

zsoltee 2007.11.09. 23:47:19

Nekem kétszer kellett próbálkoznom, elsőre nem hittem el, hogy ilyen gyökerek. Szerintem bemutatják a rendszerben alkalmazott további programozástechnikai trükköket, és krónikus röhögésben fogunk elpusztulni, ez lesz a bünti :)

na 2007.11.09. 23:50:26

hat ahogy elnezem az "egyuttazeneert.hu" -t; van ott jopar zenekar, akirol fingom nincs kicsoda ; viszont valoban rautalo szoveg van, hogy a hangfoglalas valami alvallalkozasa ennek a projektnek.

buherator · http://buhera.blog.hu 2007.11.09. 23:50:27

www.egyuttazeneert.hu/index.php?menu=impresszum

Most meg már azt hiszem megyek aludni. Ész nélkül rombolni bárki tud, építeni sokkal szebb feladat, ezt tartsátok szem előtt!

Marchello 2007.11.09. 23:51:41

egyébként meg nem is kell a jelszó, elég ha direkt beírod a linket...
azért ez elég gáz szint - szerintem :)

Aamin 2007.11.09. 23:55:40

Hangfoglalás - A Chat.hu és a Kepfeltoltes.hu legújabb konkurense :D :))

www.hangfoglalas.hu/galeria/n_20071109235137.jpg

Mas*Th 2007.11.09. 23:58:59

ehhez semmilyen \"SQL inject\" nem kell :) Viszont ez tényleg hatalmas poén. :)

lollipopp 2007.11.10. 00:01:55

nee.. ez nagyon nagyon primitiv.. én se mertem elsore ezt beirni.. asdasdasd
kekekekekeke

gorr 2007.11.10. 00:19:25

Hát itt csak én tartok a következményektől? :) Sértett rendszergazda, mint egy éles fegyver...

Aamin 2007.11.10. 00:34:50

Az egyetlen következmény az lesz, hogy rövid időn belül a hazai torrenttársadalom ismét virágozni fog (bár a szervereket valószínűleg csak évek múlva kapják vissza a tulajdonosaik, akkor meg már vihetik a bontóba), a jogvédők által kirendelt szakértők pedig ennyi idő alatt rájönnek majd, hogy a szervereken nincs illegális tartalom (lévén torrent trackert üzemeltettek rajtuk), és azért, hogy erre rájöttek természetesen több millió adóforintot kapnak majd a szakértői vélemény leadása után. A Demonoid.com viszont nem elérhető :-(( Legutóbb közel egy hétig nem volt elérhető, nehéz időszak volt, és most erre mit lehet mondani, az egyetlen oldal, ahol aktívan regisztráltként jelen vagyok, erre CRIA rájuk száll. (A k*rva annyát minden jogvédőnek, meg a szoftverrendőrségnek. A megosztás öröme a legalapvetőbb emberi sajátosság, kapitalizmus, rossz üzleti modell ide vagy oda, mellesleg én Linux júzerként többnyire tényleg csak sorozatepizódokat szedek le)

adsr · http://adsr.hu 2007.11.10. 00:53:08

Az hogy a Hangfoglalás ilyen béna, az az ő bajuk. Egy dolgot azért ne felejtsetek el: a Hangfoglalás a zenei szakmai szervezetek mellett elsősorban a HANOSZ érdekeit szolgálja tudtom szerint, azaz a hazi hangszerdisztribúció, eladás, forgalmazás témakörét. Ez nem egy rossz dolog, aki kint volt az idei kiállíításon az tudhatja. Tul.képp a NAMM és Musikmesse itthoni megfelelője. Az hogy, vannak ott zártkörű, semmire sem jó üres szájtépések is a zenei disztribúció témakörében csak mellékes. És vannak értelmes, szakmai hangszerközpontú megbeszélések is amikkel semmi baj sincs. Ha valakinek még mindig nincs fogalma arról hogy mi is a hangfoglalás annak:

adsr.hu/2007/10/08/hangfoglalas-2007.media

Persze szét lehetne rúgni azt az ólat amit ők weboldalnak neveznek de minek? Ártalmatlanok...

nyos 2007.11.10. 02:05:06

Tortenet egy hasonloan biztonsagos oldalrol:
worsethanfailure.com/Articles/The_Spider_of_Doom.aspx

asszem eleg lenne csak a belepeshez szukseges url-t feltenni egy forgalmasabb forumra.. a gugli majd gondoskodik rola :)

haxxor 2007.11.10. 02:57:03

asszem a LIGHT MEDIA-t sem fogom megkerni, hogy csinaljon nekem weboldalt ... :D

OperaTOR · http://xerobank.com 2007.11.10. 04:12:50

Konfigolj be munkahelyi zombigépen egy TOR szervert , ha jót akarsz tenni a TOR társadalomnak . Ha nem akkor meg használd a Xerobank FireFox alapú , vagy az OperaTor Opera alapú böngészőt és bordacsontig benyalhat a legnagyobbfejű rendőrségi okostojás is :))))))))

Szingapúri spuris hekker · http://myspace.com/tyotyo 2007.11.10. 04:22:58

Nem fáradnának el hiába Szingapúrba , a rendőrbácsik a TOR exit gépet kutatva, hanem legalább megtudnák mit jelent az a szó: élni.
MUHHAHAHAHAHHAAHAHAHAHAHAAAAAAAAAAAAAAAAAAAAAAA

0xFFFF 2007.11.10. 07:04:10

Betojás. Én vagy hatot próbáltam, mert nem hittem volna, hogy ilyen jelszó még létezik !

na. 2007.11.10. 08:32:37

gorr : első kezből tudatom, nem kell tartanod a sértett rendszergazditól;
aki miután jól kiröhögcsélte magát, meg amúgyis kijózanodott, most az adminra szépen pár percen belül tesz egy htaccess-t ; a többi javítás / törles / egyéb az a programolok dolga.
még egy-két vicces képet azért feltölthettek, Katitól és Zsófitól meg szeretnék randit kérni :DD)

kipe 2007.11.10. 10:05:44

A benzines kocsidat is tönkrevághatod egy laza csuklómozdulattal ha diesel-t tankolsz bele, még sem teszed...

Bojkott 2007.11.10. 10:17:29

Na, ezt a szöveget kellene kitenni a hangfoglalasra: asva.info/kialtvany.zip

Nem a linket, a szöveget :D

na. 2007.11.10. 10:29:22

hajra bojkott. tedd ki.

Bojkott 2007.11.10. 10:40:03

Egy baj van... Már nem úgy adja be az oldalt, ahogyan tegnap... És nem találtam a jelszót :( Nem tud valaki kis utalást tenni rá? :) Vagy aki már "járt ott", nem tudná megnézni, hogy megy-e még úgy, ahogyan tegnap???

mrgarris0n 2007.11.10. 10:42:18

hangfoglaláson rákattintottam, hogy MÉDIA, és bejött a piratebay, LOOOOOOLLLL :D

a a · http://localhost 2007.11.10. 11:09:34

ujra megy a MEDIA fül.
a jelszót is átirták?

pogo 2007.11.10. 11:37:02

Ha nem sikerult belepned de probalkoztal (ha meg beleptel akkor plane), akkor a kirendelt szakertotol fuggoen akar meg is megbuntethetnek.

Bojkott 2007.11.10. 11:43:26

Egyáltalán nem volt kiírva semmi, hogy belépni tilos, stb... Nem próbálkoztam, csak kipróbáltam 1 szót, és nem stimmelt... :)

testlife 2007.11.10. 12:23:10

Pogo, ez lehet, hogy igaz, de épp amiatt rossz ebben az országban élni, hogy ide jutottunk. Eléggé érdemes ez ellen szépen, nyugodtan küzdeni, hogy fennkölt legyek.

mucika 2007.11.10. 13:06:37

Ha már megváltoztatták a jelszót. Írja már be valaki h mi volt az, hadd derüljünk :)

waces · http://blog.waces.hu 2007.11.10. 13:12:05

Pogo: Tevedesben elsz. Ha valaki rakattintott a fenti linkre es esetleg megporbalt belepni egy tetszoleges user/pass parossal az semmit nem jelent. Eppen ezert kivancsi lennek, hogy milyen jogalapon buntetne meg es ki? (Es akkor most nem terek ki arra, hogy bizonyitani "kicsit" nehez lenne barmit is).

kopa. · http://kopa.blogja.net/ 2007.11.10. 13:19:05

A régi ez volt: user: admin pass: admin
:D

adasdas · http://asdasdasd.hu 2007.11.10. 14:01:14

az új meg
admin///admin1

wáhéáhé :D

t101 2007.11.10. 14:04:23

Picsába ,elsők között próbáltam énis azokat :D:D

pogo 2007.11.10. 14:26:15

Ugye van egy ilyen:

"300/C. § (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő."

Ha beleptel, akkor elkovetted ezt. Ha probalkoztal, akkor elkovetted ennek a kiserletet.
Nem en talaltam ki, anno konzulensemet kertek fel szakertonek, ha jol emlekszem a szakertoi velemeny nyoman vegulis kiszabtak valami buntetest, pedig a srac akkor nem lepett be, csak probalkozott.

Bizonyitani pedig eleg jol lehet szerver logokkal, mar ha vannak :)

Aamin 2007.11.10. 14:56:08

Az izgalmas lenne, ha ezek után elvinne a rendőrség bárkit is, nem hiszem, hogy ennek az ügynek ilyen súlya lenne, elvégre kárt nem okoztunk. Mellesleg az én esetemben IP alapján legfeljebb a Dominikai Köztársaságig juttnának el, bár akkor már egyszerűbb, ha az Inda regisztrációmon keresztül érnek el, de én természetesen sohasem tartózkodtam a fenti oldalon, nem léptem be, és a Dominikai Köztársaság IP címeihez sincs sok közöm. :D A rendszergazda meg majd kap egy sört :P

mindegy 2007.11.10. 14:58:03

és ha én pl most mert ide volt irva poénból 3 szor próbáltam mi van abban? semmmi nehogy má ilyenért megbüntessenek mikor vazzz a tüntetők napi szinten 20 millios kárt okoznak ????.....vazzzz

nopara 2007.11.10. 15:08:03

elég hülyék ahhoz, hogy fogalmuk se legyen arról mit lehet tenni ilyenkor. továbbá utólag benyújthatod a szakvéleményt az oldal hibáiról, mint biztonsági szakember, és köszönjék is meg szépen, hogy felhívtad rá a figyelmüket ezzel az ártatlan próbálkozással. :D

Sysa 2007.11.10. 15:10:46

Kicsit azért félreértelmezed ezta a rendeletet.

" Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével ..."

Az, ha kitalálom a jelszót, nem sértem meg a védelmi intézkedést, hiszen azt használom! Úgy ahogyan az elő van írva, ahogyan be kell jelentkezni.

A másik dolog, hogy egy nyílt forráskódú oldalnál még ha loggolja is az ip-ket. Mi van ha a tulaj utazik folyton, és az admin felületre mindíg más ip-ről lép be? Akkor a rendszergazdi bejelenti, hogy betörés történt és akkor végigmennek az összes végponton??? Ennyi erővel mindenkit lecsukhatnának, merthogy az IP végpontja nála van, és fenn van a liggolási listán. Namost ha egyszer a tulaj bejelenkezett egy kávézóból, akkor az egész kávézót bezárják, a tulajt lecsukják bűnrészességért??? Még egy érdekesség. Ha valaki kitalálja a jelszót, felrak egy hírt, akkor ő még nem követte el a vétséget, hiszen a login jogosultsága megengedi.

Ne röhögtess már... Ez a rendelet nem erre, hanem komolyabb dolgokra vonatkozik, pl egy szerverre belépsz, és nem baszogathatod a mittomén milyen szerver programot, de te trükkösen kijátszod, és kárt okozol.

A próbálkozásról meg annyit, hogy ennyi erővel le lehetne csukni azt a kissrácot is, aki féltékenységből a barátnője e-mail címének jelszavát találgatta épp...

Sysa 2007.11.10. 15:22:43

:)
Tegyükfel hogy csinálok egy oldalt. Annak a felhasználóneve, és jelszava admin, admin.
Bírósági tárgyaláson vagyok, viszek egy laptopot.

Megkérem a bírót, hogy lépjen be az oldalra, és a jelszó nem nehéz. Tuti hogy be tud lépni. Na akkor kijelentem, hogy feljelentem, mert megsértette a biztonsági előírásaimat. És jogosan, mert nem mondtam meg neki a jelszót, ő abban a pillanatban meghekkelte!

Kíváncsi lennék a fejére.... hihihihihi

buherator · http://buhera.blog.hu 2007.11.10. 15:33:14

@Sysa

Ha te kéred fel az illetőt az "auditra", akkor mentesülsz a törvény alól. Régen kibúvót jelentett egyébként az is ha előbb szóltál a rendőröknek/üzemeltetőnek, mint hogy észrevettek volna, ez nem tudom hogy változott-e.

Sysa 2007.11.10. 15:45:08

Én csak azt mondom, hogy ha kitalálod a jelszót, az nem törvénysértés. Ha viszont feltöltesz egy fájl-t és annak a segítségével buherálsz, akkor már megkerülted a rendszert. Vagy beléptél, és hasonló módon erőszakolsz ki magadnak több jodogultságot. Az már igen.

Csak arra akartam felhívni a figyelmet, hogy ebben az esetben nem igazán lehet alkalmazni eme jogszabályt.

Az összes ilyen jogi eset kb úgy hangzik, hogy "X Y" jelszavát használta arra hogy... és ezzl ő a rendszert kihasználva használta arra hogy...

Tehát e belépés, és a jelszó próbálgatás még nem minősül törvénybeütközőnek.

A másik meg, hogy ha a cég loggolja a rossz jelszó megadásánál az IP-t akkor meg én jelenhetem fel jogszerűtlen adatgyűjtés címén, mert nem tárolhatja el az elérhetőségemet, csakis az én beleegyezésemmel.

Szerintem. :D

buherator · http://buhera.blog.hu 2007.11.10. 15:54:33

@Sysa

Csak szólok, hogy a ti webes interface-etek is elég ratyi biztonsági szempontból :) Ha érdekelnek részletek dobj privát üzit!

mindegy 2007.11.10. 15:57:17

de azt mondja már meg nekem valaki, ha pl kis jóskának hivják az admint, és arróla végpontról ahonnét zajlott az esemény, nem ő volt az aki bejelentkezett, a kis jóska....akkor mivan? valami alibit is kell tanusitania a kis jóska adminnak? vagy hogy? mert pl ez olyan mint egy gyilkosság(csűnyán és tulzással kifejezve)...ott is ha alibid van akkor?

mindegy 2007.11.10. 15:59:52

szóval mivel bizonyitja kis jóska azt hogy nem ő követtel el a faxságot...lehetne hivatkozni arra is, hogy hogy lehet egyaltalán igy valaki admin hogy ilyen eccerű belépést alkalmaz

nuku · http://nempublikus.hu 2007.11.10. 17:08:45

Szóval még annyit tennék hozzá, hogy maguknak az előadóknak is érdeke, hogy akár illegális úton is, de eljusson a tartalomuk minél több emberhez. Én nem egy híres magyar előadót ismerek személyesen. A kiadócégek azok, akik ezt nem támohatják.

fraki 2007.11.10. 18:31:39

Mivan? Mit kerülök meg, ha rendeltetésszerűen belépek egy admin oldalra?

És az apache log mit bizonyít? Olyan apache logot csinálok neked, amilyet akarsz.

sniper · http://asva.info 2007.11.10. 19:21:59

ha valaki tudja írja már be a jelszót mert az admin1 sem jó már

ez nagyon flash :D:D ekkora f*szokat


szabadítsátok ki bitHU-t!

önkéntesrendőr 2007.11.10. 19:47:56

ha nyitvahagyod véletlenül a kocsiajtót akkor onnan már szabad lopni?

db 2007.11.10. 20:04:35

az oldalról senki nem lopott el semmit, inkább csak hozzátett. :)

önkéntesrendőr 2007.11.10. 20:12:12

ok, akkor be szabad ülöd? vagy berekhacc valamit?

dfgdgdfg · http://sdfgdgfdg.hu 2007.11.10. 20:37:49

az admin/admin1 az vicc volt.. komolyan elhitted? ÁHÁHÁHÁÁHÁHHÁ :)

önkéntesrendőr 2007.11.10. 20:54:40

a nyitvafelejtett kocsiba beülhecc? vagy belerakhacc valamit?

na. 2007.11.10. 21:14:44

sniper. sose volt admin1 a jelszo.

zsoltee 2007.11.10. 21:21:02

db: ez nem igaz! jelentem, én töröltem a silverlight redirect-et :D jó nagy fasz volt, aki berakta :)

nimus 2007.11.10. 23:27:14

ha van elég pofám, lzaán beülök neked a nyitva hagyott kocsiba...és berakok neki egy magnót meg egy iPodot...aztán jelentsen fel...

Bár kötve hiszem, hogy feljelentene, inkább örülne..

db 2007.11.11. 04:47:42

önkéntesrendőr: megnézném azt az embert, aki feljelentést tesz ismeretlen tettes ellen azért, mert a nyitva hagyott autójába betesznek valamit.

másrészt a hasonlatod véleményem szerint koránt sem megfelelő, ez kb olyan, mint amikor elkezdték a szabad felhasználás jogkörébe tartozó letöltögetés "törvénytelen" (nem szoftverekről beszélek) mivoltát bolti/stb lopással reklámozni.

amikor letöltesz valamit, nem tűnik el egy cd sem a polcról, legrosszabb esetben eggyel több rajongója lesz az adott művésznek, eggyel nőhet azok száma, akik elmennek egy koncertre, előadásra.

igazából arra kellene rájönnie a társadalomnak, hogy nem a "rajtukütünk, hájpolunk, jól megveregetjük a vállunkat és pár hét múlva az élet megy tovább" a megoldás erre a kérdésre.

fejlődni kellene a korral és megvalósítani egy olyan koncepciót, ami mind a fogyasztónak, mind a kiadónak (a zenészek bevétele tudtommal a fellépésekből származik) jó. csakhogy erre nem képesek a jól megtömött úriemberek/hölgyek, hiszen ez egészen eddig működött, anélkül szedtek be nagy összegeket, hogy szinte bármit is kellett volna tenniük az ügyért.

db 2007.11.11. 04:52:07

zsoltee: kár érte. bár a tpbre mutató Média menüpont überelt mindent. :>

atleta.hu · http://www.atleta.hu 2007.11.11. 18:24:41

Ha mar probalkoztok hasznaljatok anonym proxyt (pl. TOR, lasd google...). Amugy az okoskodas nem sokat er, a torvenyt azert nem hulyek fogalmaztak. Mindegy, hogy talalgatod a jelszot, vagy torod a rendszert, akar ha trivialis hibaval is (mint pl. az SQL inject).

Amugy, ha mar kiderult, hogy SQL inject bug van az oldalakon, egeszen rendesek vagytok, hogy meg senki nem torolte az egesz adatbazisukat... ;-))))

Papen21 2007.11.11. 21:59:47

Sziasztok!Nemtom jó helyen kérek e segítséget de egy olyan problémám lenne hogy a nővérem 1 éve elvált a játékgtép mániás fa*z férjétől és próbált új életet kezdeni de az a fa*z annyira nagy smakker hogy feltöri az msn beszélgetéseket meg a leveleit és mindenkinek irogat pl:most talált egy rendes csávót nővérem ez meg el kezdte keverni a szart!Irogat a gyereknek olvassa a beszélgetéseiket Msn-en!És fenyegeti hogy tönkreteszi az életét!Na szval ha valaki (azon kívül hogy beverem a pofáját) tud jobb megoldást írjon!

macskajani 2007.11.11. 22:33:12

Sztem a nyitott kocsiajto nem megfelelő példa, mert ez az ajtó be volt zárva, csak olyan bugyuta zárral - kulccsal, h azt egy csavarhuzoval ki lehetett nyitni rongálás nélkül. igy mégis feltörte aki beült. A tulaj meg örülhet, hogy nem vitték el. De az biztos, h a biztosito nem fizetne. pláne, h kár nem történt csak a dudát nyomta meg vki. és berakott 1 iPodot.

Kis Jocó · http://127.0.0.1 2007.11.14. 07:48:44

Mert nem lehet torolni, ha lehetne, mar toroltek volna, peldaul a ' karaktert atalakitja \ -re, ezert eleg nehez barmit is kezdeni.
Tippek, otletek? :)

buherator · http://buhera.blog.hu 2007.11.14. 10:31:53

@Papen21

Jelszakat változtassa meg nővéred valami nem tök egyértelműre+Windóz újrahúz. És verjétek be a csávó pofáját ;)

mmicimacko 2007.11.14. 11:17:16

Papen21
Szerintem ujra kéne telepíteni a gépet, majd egy jo tűzfal, és létrehozni egy uj msn fiokot, e-mail fiokot, ahová kérheted a régi emailed átirányítását. Teljesen más felhasználó és jelszóval. Gyanítom, hogy a gépen fut egy alkalmazás, amivel a hülyegyerek hozzáfár a nővéred gépéhez.
Érdmes elmenni a chiponline.hu oldalra. Ott kérdezz, és asszem ott foglalkoztak is ilyen dolgokkal. Az ujságukban volt is egy ilyen cikk, hogyan nyomozták le.
Üdv

buherator · http://buhera.blog.hu 2007.11.14. 14:24:27

@Kis Jocó

A tippem az, hogy még nem csináltál elég SQL injectiont ;) Nem kell mindenhez ' (sőt, inkább azt mondanám, hogy semmihez sem kell), ráadásul mysql_escape_string() és az addslashes() hibás néhány PHP verzióban. Törölni azért nem lehet, mert SELECT-be injektálsz...

moli 2007.11.21. 16:03:31

"""pedig a srac akkor nem lepett be, csak probalkozott.
Bizonyitani pedig eleg jol lehet szerver logokkal, mar ha vannak :)"""

bar nem ertek hozza, de ha jol tudom, akkor mar csak az url megnyitasa jelszo nelkul is okoz egy sort a logban authfail-lel. tehat ez is probalkozasnak szamit? nem irtam be jelszot, logikailag nem probaltam meg feltorni a jelszot.

moli 2007.11.21. 16:09:30

"""pedig a srac akkor nem lepett be, csak probalkozott.
Bizonyitani pedig eleg jol lehet szerver logokkal, mar ha vannak :)"""

bar nem ertek hozza, de ha jol tudom, akkor mar csak az url megnyitasa jelszo nelkul is okoz egy sort a logban authfail-lel. tehat ez is probalkozasnak szamit? nem irtam be jelszot, logikailag nem probaltam meg feltorni a jelszot.