Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

BKV - rájátszás

2009.12.16. 03:20 | buherator | 63 komment

Egyik kedves régi olvasóm a múltkori BKV-s poszton felbuzdulva elkezdte nézegetni az elméletileg mostanában élesedő új BKV weboldal háza táját. Már többször megállapíthattuk (és ezt jól jegyezze meg mindenki!), kár túlkombinálni a dolgokat - ezesetben pl. ott figyelt egy ostoba módon beállított phpMyAdmin a webszerveren:

Az persze egy dolog, hogy egy tesztoldalról van szó, node

  • phpMyAdmin-t publikus felületen nem hagyunk kint! Főleg nem úgy hogy még egy átlagosnál hülyébb neandervölgyi is be tudjon rá lépni rootként...
  • Könyörgöm, hash-eljük már le azokat a rohadt jelszavakat! Így is annyi személyes adat van ezen a fotón, hogy alig győztem feketíteni... Másik kérdés hogy ki az a hülye önkéntes tesztelő, aki még a mobilszámát is megadja?
  • Csak a szépségérzetem miatt: 400+ adattáblát biztos hogy egy adatbázisba kell szervezni? További remek adatbázisszervezési ismeretekről árulkodik a következő kis részlet:

  • Ínyenceknek ajánlom a forráskódok böngészését is, van külön antihekker modul is! Szép kis káosz uralkodik amúgy a kódban, nyakatekert megoldások triviális problémákra, a kommentárok gyakorlatilag ismeretlenek, csak úgy mint az előkészített lekérdezések... mondjuk azokhoz már kéne némi objektumorientált szemlélet is :P Legszívesebben elküldeném az egészet a dailyWTF-ra.

És hogy ki végezte ezt a remek munkát? A szemfülesek ezt is leolvashatják az első képről :) A korrupt döntéshozóknak pedig gratulálok az újabb remek választásért!

Címkék: bkv szánalom

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

conscience 2009.12.16. 05:13:45

Húúú, nagyon friss! És nagyon cinkes! Hogy egy csúnya multi gagyi reklámszövegével alattomosan visszéljek: I'm lovin' it.

Ezt a bizonyos modult lehet,h meglátogatom, kíváncsivá tettél. :D

sitya 2009.12.16. 08:07:55

Nem találok szavakat...

Ha lenne egy fejlesztői e-mail cím, akkor legalább valami kezdeti jelszót be lehetett volna állítani, és elküldeni nekik oda, de még ilyet sem találtam.

Arról nem szólva, hogy gondolom a legtöbb felhasználó épp ua. jelszót adta meg ide is, mint a regisztrált e-mail címénél, szúrópróbaszerűen 3ból 2...

agyvihar · http://agyvihar.blog.hu/ 2009.12.16. 08:21:00

Ezek alapján az infók alapján egy rosszindulatú valaki nem tud kárt okozni a fenti usereknek? Ha igen (pl. azonos a mail jelszavuk), akkor lehet, hogy érdemes lett volna először keresni valami bkv contact-ot, és csak azután kitenni az anyagot, mikor már kijavították a hibát.

csz0 (törölt) 2009.12.16. 09:11:31

Hát aki latin1-et használ magyar weblapon, az sikeres ember nem lehet - persze csak addig, amíg a haverja meg nem szerez neki egy zsíros BKV-s megrendelést....

droID242 2009.12.16. 09:28:25

Basszus!
Elég csak csinálni egy kis SQL dump-ot...

Komolyan nem akartam idáig elhinni, hogy ilyen létezik, de most a saját szememmel láthattam.

_2501 2009.12.16. 09:52:21

Igy mukodik a kozbeszerzes, ennyi.
Ez csak egy bkv.
Vannak olyan rendszerek amik a szemelyi szamomat, tb azonositomat, stb szenzitiv informacioimat tarolkak, es nem en adtam meg valami buta regisztracional.
Jo lenne azt hinni hogy azokat a rendszereket nem inkompetens idiotak fejlesztettek...

A hanyinger kerulget.

Udi · http://blog.udi.hu 2009.12.16. 10:05:19

Rendszereink közel száz esetben bizonyították, hogy megfelelnek ügyfeleink legmagasabb minőségi elvárásainak is...

Jóindulatból tételezzük fel, hogy ez egy nem public teszt szarver.

_2501 2009.12.16. 10:32:03

ahh.. ostoba kolyok... ezt most mi a francer kellett?

EQ · http://rycon.hu 2009.12.16. 10:49:53

nekem az a html encode fáj, de nagyon :)

Udi · http://blog.udi.hu 2009.12.16. 10:55:30

@EQ: Mi bajod vele? Észak európában nagyon is elterjedt.

EQ · http://rycon.hu 2009.12.16. 10:56:22

@Udi: hát jelszavat transzformálni? omg, még nem találja meg a john!

synapse · http://www.synsecblog.com 2009.12.16. 11:01:50

Eeeeees a host mar nem pingel. FUSSATOK JONNEK!!! :D

synapse

Udi · http://blog.udi.hu 2009.12.16. 11:06:05

@EQ: Pont ezért nincs hesselve, hogy nehogy az encoding miatt ne tudjon bejutni az, aki ékezetet használ a jelszavában.

Hasznos, és elegáns megoldás, én mondom nektek.

buherator · http://buhera.blog.hu 2009.12.16. 11:44:21

1) A felhasználókat sajnálom, de ez talán még egy olcsó lecke megtanulni, hogy mit is jelent egy regisztráció
2) A defacemajmok igazán visszamehetnének az Állatkertbe
3) Bocs a silány fogalmazásért

dnet 2009.12.16. 12:35:44

És a mai IPv4-ínséges időkben ezek egy teljes /23-mat kaptak mindössze azért, hogy az ilyeneket az egész világ számára elérhetővé tehessék. Zseniális.

JoeHorseDick · http://kifordultvilag.blog.hu 2009.12.16. 13:22:55

a latin1_swedish az ÜT! látszik, h backup-restore:)

RxTx 2009.12.16. 14:11:32

Ez elég nagy butaság volt, inkább küldted volna el a bkv-nak és nem ide...

Ha szerencséd van, nem jelentenek fel "közérdekű üzem működésének megzavarása" miatt... De ha neked megér 1 perc hírnév akár 5 év börtönt, csak így tovább... :)

buherator · http://buhera.blog.hu 2009.12.16. 14:40:49

@RxTx: Egy tesztelés alatt álló weboldal mióta közérdekű üzem? Egyébként én nem zavartam meg semmit.

Mr. Pink2 2009.12.16. 14:56:33

Nekem az jutott eszembe, hogy ez így legális? Mármint egy cég szerverére betörni (még ha résnyire nyitva is hagyták az ajtót)?

Ráadásul a betörésed eredményét print screeneken közzéteszed. Nem vagyok ügyvéd, de megnézted, hogy jogilag ezért felelősségrevonható vagy-e?

RxTx 2009.12.16. 14:58:14

Jelszavakkal és személyes adattal teli adatbázisban túrkálni, amihez semmi köze(öd), ráadásul megadva a lehetőséget így bárkinek aki kicsit is ért hozzá...

_2501 2009.12.16. 17:09:21

Korrekt az hogy mindenki jogilag harit, es senki nem vallalja a felelosseget a felhasznalok adatainak biztonsagaert? Korrekt az, hogy elbujunk a jogszabalyok moge ha gebasz van, de nem teszunk ellene semmit? Barki csinal egy kotu szajtot, jon a sok csoro user, megadja az adatait, es ilyen olcson el lehet vinni? Ennyi? Level0 hacking, ehhez nem kell sok ész...

synapse · http://www.synsecblog.com 2009.12.16. 17:18:51

buhera.blog.hu/2008/03/07/a_teljes_nyilvanossagrahozatal_jogi_helyzete

Attol tartok, hogy itt nehanyotoknak eleg nagy fejtorest fog meg okozni a fenti "full disclosure"...

synapse

Laca@blog 2009.12.16. 17:21:35

tényleg szép... cinikusan, mindkét oldalnak szól (fejlesztő(k) / piszkáló(k))

conscience 2009.12.16. 20:01:08

@RxTx: hu.wikipedia.org/wiki/K%C3%B6z%C3%A9rdek%C5%B1_%C3%BCzem_m%C5%B1k%C3%B6d%C3%A9s%C3%A9nek_megzavar%C3%A1sa

Azt deface-elő script kiddie -(ke)t leszámítva nem történt rongálás, valamint a tesztoldal nem tartozik a BKV működését biztosító eszközök közé, így a csoportra, ill. Buheratorra nézve az általad említett jogi helyzet nem áll fent. Tájékozódhatnál, mielőtt észt osztasz.

A behatolást bárki elkövethette, a printscreen effektíve névtelenül érkezett.

@sitya: Volt contact link, bele volt suvasztva a menübe.

A hatóságoknak pedig ezúton üzenem, hogy a script kiddie-ket lehetőleg a helyszínen lőjék fejbe, mondjuk katasztrófavédelem és -elhárítás címén.

És ne feledjük, hogy itt még mindig a BKV tesztoldalának fejlesztői a ludasak.
Az Alkotmány §59. szerint "...mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát..."
Ezen követelményeknek a szóbanforgó oldal nem felelt meg.

conscience 2009.12.16. 20:07:13

@conscience: Megemlíteném még, hogy konkrét biztonsági intézkedésekről, sem azok kijátszásáról, így szabálysértésről, ill. bűncselekményről szó sem esett. A rongálók esetében maximum, de azokhoz semmi közünk nincs.

csz0 (törölt) 2009.12.16. 22:22:21

www.hirtv.hu/belfold/?article_hid=301089 - nos ilyen informatikai szerződések eredménye látható a posztban :D

tomato 2009.12.16. 22:49:58

Ezentúl a linkeket is ki kell cenzúrázni, mert rászállnak a skiddiek. :D

conscience 2009.12.17. 01:49:42

@tomato: Jéé, te még élsz? Mi a prés arrafelé?

A probléma istenigazából az, hogy ez a blog alapvetően mindenkinek szól, így a skideket elég nehéz kiszűrni. Csak reménykedni tudok benne, hogy hatósági úton kiszűrik magukat...

crey7 2009.12.17. 10:12:51

Sajnos én kevésbé vagyok vidám mint itt egyesek. . . :( Inkább szomorú. . . mert ha ezt a bakit én csinálom a fateromnak készített weboldalon, és valaki feltöri. . . pff. nagy ügy.

De hogy ezért milliókat kapni basszus. . .

RxTx 2009.12.17. 11:16:52

@conscience: Te azt vajon honnan tudod, hogy hova tartozik a BKV-n belül? Egyébként a törvény szövege általános, ezer féle variációt rá lehet húzni.

A tény és szerintem ezen kár vitatkozni:

A barátod olyan adatbázist nyitott meg és tett közre, ami személyes adatokat tartalmaz és amihez az ég világon semmi köze nem volt (akár le van takarva, akár nem), ill. a képen látható egyéb infókkal lehetőséget adott arra, hogy ezt mások szintén megtehessék.

Az meg hogy nem történt rongálás... Ha az én prograjmaimba bárki akár egy byte-ot is megváltoztatna az én tudtom és engedélyem nélkül, nem nagyon rajonganék érte...

Te sem szeretnéd, ha a szekrényedben százak turkálnának...

Korrektebb dolog lett volna előbb elküldeni a fejlesztőknek, hogy figy van egy ilyen probléma oldjátok meg, de azért én ezt jelezni fogom a blogomba, hogy milyen bénák vagytok...

Mint ahogy ezer féle módon/képpen be lehet szerezni filmeket, zenéket, szoftvereket, de azt se tesszük, holott csak egy kattintás lenne, 0:-) mert az lopás... Nem hajtjuk ki az UPC-s dobozt és tekerjük be a kis izét, hogy legyen HBO-nk, mert az illegális... Nem lopunk a boltból csokit, mert nem szabad...
Ha egy bicikli lakat nélkül a falhoz van támasztva, azt sem toljuk el, mert akkor elloptuk.

Ezek annyira egyszerű dolgok...

buherator · http://buhera.blog.hu 2009.12.17. 11:37:15

@RxTx:
- A rendszert a mi pénzünkből (a tiédből is) rakták össze, ezen gondolkozz el picit!
- A fejlesztők/üzemeltetők a múltkori poszt óta tisztában lehetnek azzal, hogy gázos a biztonsági helyzet, de nem tettek *semmit*.
- Azt továbbra sem értem, hogy a közveszély okozáshoz, vagy lopáshoz ennek miért lenne bármi köze?
- A f*szomért játszod az ördög ügyvédjét egy olyan szituban, ami száz méterről bűzlik?

Pozo 2009.12.17. 11:37:38

@RxTx:

Szekrényes példádat továbbgondolva nem az utcán van az a bizonyos szekrény ergó nem kell lakatot tenni rá , de ha bárki elérhetné akkor teszek róla ,hogy ne túrhassanak bele.

Amúgymeg semmi adatot nem tettek közre mivel kivan takarva , 2 ember látta az adatokat , aki elküldte és aki kifeketítette.Szerintem a legnagyobb baj nemis az hogy a csórikámnak fingja sincs a dolgokról , hanem az ,hogy erről nemtudnak a megrendelők, sőt általában senki sincs tisztában azzal hogy a személyes adataikat jóhogy nem addják fel postán a hackernek. Nincs jól ez így.

conscience 2009.12.17. 18:39:53

@RxTx:

Ugyan teljes switchoffot terveztem az év hátrelevő napjaira, ezt még megválaszolom neked, nehogy úgy kelljen meghalnom, hogy befejezetlenül hagytam valamit.

Honnan veszed, hogy közülünk ment be valaki? Mint azt már említettem - talán másodjára el is olvasod - egy gyakorlatilag névtelen screenshot érkezett.

Miből gondolod, hogy a rendszergazda nem kapott előzetes tájékoztatást? Annál is inkább, mert ez a... öhmm... protokoll.

"Ha az én prograjmaimba bárki akár egy byte-ot is megváltoztatna..."
Biztosan érted te azt, amiről írsz? Jelen esetben ilyesmiről szó sem volt. Esetleg a deface-re gondolsz? Ha figyelmesen követted volna az eseményeket, tudnád, hogy nem a mi művünk, és magunk is elítéljük. Ha nem erre céloztál, akkor meg talány a te megváltoztatott bájtod.

Ha a szekrényemet hülyemód az utca közepére teszem, és arra sem veszem a fáradságot, hogy biztonságosan bezárjam, akkor nem pakolok bele értéket.

Az utolsó bekezdésed pedig... Sikeresen leírtad, mit CSINÁLNAK az emberek, ezen kár ferdíteni.

Végezetül pedig első kérdésedre:
A szóbanforgó oldal tesztoldal, a próbaüzem a hibáinak felderítését szolgálja. A mellékelt ábra szerinti példában is ez történt, így a fent nevezett jogi esemény - mármint az akadályozás - nem forog fenn. Annál is inkább, mivel egy tesztoldal - mint azt az elnevezés is mutatja - nem üzemszerű, így megintcsak oda lyukadunk ki, hogy nem tartozik a BKV üzemprofiljához.

Ahelyett, hogy Buheratort basztatod, inkább átmehetnél a másik oldalra megkérdezni, hogy mégis hová tették a pénzünket, ha náluk minden szükségszerűen ilyen szar.

Köszönöm a figyelmet, jó pihenést mindenkinek!

RxTx 2009.12.17. 19:49:20

Tetszik a mentegetőzés, a nem mi voltunk és ez nem is úgy van ahogy látszik... :)

"Egyik kedves régi olvasóm a múltkori BKV-s poszton felbuzdulva elkezdte nézegetni az elméletileg mostanában élesedő új BKV weboldal háza táját. "

Hát akkor ki a f.szom volt ha nem az egyik "kedves olvasó"? És ki tette ki, talán én? vagy Mari néni Bivajbasznádról?

synapse · http://www.synsecblog.com 2009.12.18. 11:21:52

conscience:

"Megemlíteném még, hogy konkrét biztonsági intézkedésekről, sem azok kijátszásáról, így szabálysértésről, ill. bűncselekményről szó sem esett."

Ezt gondold at ujra. Ittvan, segitek.

300/c:

"Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép"

"számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz"

"adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. "

300/e:

"Aki a 300/C. §-ban meghatározott bűncselekmény elkövetése céljából, az ehhez szükséges vagy ezt könnyítő számítástechnikai programot, jelszót, belépési kódot, vagy számítástechnikai rendszerbe való belépést lehetővé tevő adatot"

Ezek az esemenyek pedig megvalosultak. Es a szemelyes adatokrol meg egy szot sem szoltam.

De persze ezek alol mind mind ki lehet bujni. gumitorveny..

synapse

szaroskenyer 2009.12.20. 05:00:31

Az oldal feltörése jogilag megkérdőjelezhető, de ne térjünk el a lényegtől:

- adott egy - nagyrészt - állami finanszírozású cég, aki horror összeget fizet ki egy szoftverért
- adott egy szoftverfejlesztő cég, akinek egyes alkalmazottjai a hozzánemértésről tesznek/tettek tanubizonyságot.

- Szvsz felháborítónak tartom, h. a fizetésem ~50%-t olyan emberek viszik haza, akiknek a PermitRootLogin egy erős jelszó plaintext-ben (ráadásul - mivel nem is vagyok budapesti - egy olyan cégen keresztül, akihez közöm sincs).

Ez az egész iskolapéldája annak, h. a diploma==szakember, valamint hova vezet az adóforintokba csomagolt naivitás.

A cikk alapján csak egy dologban reménykedhetünk: ha hozzáértő fülekbe jut, lesz jópár ember, aki a gagyizás helyett áshatja az árkot az optikai kábelnek. Mindenkinek jobb lenne...

_2501 2009.12.20. 11:18:08

diploma != szakember.

A közbeszerzés nem arról szól hogy ki csinálja meg jobban vagy ki csinálja meg olcsóbban.
biztonságról szó nincsen.
A közbeszerzés arról szól hogy ki kinek a kije, ki mennyit fizet vissza az állami pénzből a megbízónak.

szaroskenyer 2009.12.20. 11:25:57

_2501: Bocs, lemaradt az idézőjel.

"Baldrick, van neked arról fogalmad mit jelent, hogy irónia? - Persze egy olyan ország, mint Dánia, csak ott irónok élnek."

foobared 2009.12.20. 16:03:47

szoval ha a bejarati ajtom nincsen bezarva, de te betorsz hozzam, azaz bejosz es lefenymasolod a nevjegykartyaimat, te betoro vagy, vagy epp jo arc?

mert szerintem betoro vagy.

mert nekem ez ugy jott le, hogy a post iroja is buncselekmenyt kovetett el, raadasul informaciokat tulajdonitott el.

es meg buszke is ra!

buherator · http://buhera.blog.hu 2009.12.20. 16:26:45

@foobared: Ha építenek egy házat a pénzemből, ami életveszélyes, én meg rámondom hogy ez szar az szerintem nem betörés, hanem őszinteség - hogy a rossz hasonlatoknál maradjunk.

Félelmetes hányan hordanak és mekkora szemellenzőt ebben az országban...

foobared 2009.12.20. 16:46:59

itt nem azzal van a baj, hogy szar vagy nem szar, hanem ha megtorsz valamit, vagy talalsz egy lukat, akkor nem posztolod szet az internetet es viszed be a mainstream mediaba, hanem irsz egy ket emailt a megfelelo embereknek, ha mar ennyire feherkalaposnak gondolod magad.

Sajnos azzal amit tettel, buncselekmenyt kovettel el, ezen viszont nincs mit firtatni.

Szerintem annak orulj, ha hivatalbol, vagy kotelessegbol ezert teged senki sem jelent fel.

Ugyanis, ha peldaul a szolgaltatast megtorod, es ezzel szemelyes adatok kerulnek ki, akkor az uzemeltetonek mar kotelessege is, hogy ismeretlen tettes ellen feljelentest tegyen, marcsak onmaga vedelme miatt is.

Szerintem ezt elcseszted, mar bocs.

Hozzateszem uzemeltetek par szolgaltatast itthon magyarban is, kepben vagyok.

buherator · http://buhera.blog.hu 2009.12.20. 17:04:44

@foobared:
Ha visszaolvasol kicsit, láthatod, hogy általában az az eljárás, amit te is leírsz. Azt is láthatod, hogy ezeket a hibákat nagyrészt nem én fedezem fel, csak közzéteszem azokat. Ha nem itt jelennének meg, megjelennének máshol. Hidd el, mindenki így jár jobban! És a legfontosabb: néhány hete volt már itt egy screenshot az új BKV.hu passwd fájljáról, de a kedves üzemeltetők meg sem próbálták megtudakolni, hogy mégis hol van a hiba, és hogyan tudnák azt kijavítani - ennek fényében szerinted mi értelme van levelezgetni?

És bocs, de ezt nem tudom megállni: a BKV jogi osztályának szerintem van mostanában jobb dolga is, mint hozzám hasonló csirkefogókkal vesződni ;)

foobared 2009.12.20. 17:14:37

jah nekik van de tuti egy kulsos infos ceg fejleszti, nem hinnem h pereskedne barki is ezert, de sztem nem illik.

a passwd-rol nem tudtam de az lol mar :D nem vagtam h vannak ilyen sotetblogok is itt. jo erted a fejlesztok versus rendszergazdak orok harca, szal en tokre megertem ha valami lukas, vagy exploitalhato, barmi nem az a baj, az a baj, hogy vannak emberek, akik bemennek a nyitott ajton, aztan bemennek megegyszer, aztan kifestik a hazra, hogy he ez a barom nyitva hagyja az ajtajat.

ha nem figyelnek a levelekre meg kell oket buntetni, defacelni, stb. de azt mar mind okosan elbujva titokban.

foobared 2009.12.20. 17:24:11

haha most lattam a passwd-s screenshotot gondolkodtam is miert screenshot aztan rajottem hogy tuti mert phpn keresztul mentek be, de arra nem gondoltam, hogy egy sima cat, vagy valami local include. hat bocs de erted nem veletlen van shadow, szal most ne mondjuk mar azt h ez annyira gaz. jo mondjuk az h nem chrootolva van a cucc az egy masik dolog, meg igazabol azt is mondhatnank hogy tenyleg gaz, hogy local be tudta includolni az attacker. de akkor is na :D szal nem illik igy raszallni egyik sitera se sztem mert ahol keresel ott talalsz.

amugy epp valameik nap az irodaban bohockodott az egyik munkatarsam hogy mi lenne ha az egyik haverja konkurens cuccait szet kellene zuzni /nos rajonni hogy ki milyen modifizett phps motort futtat, es abban milyen tavolrol kihasznalhato hibak vannak nem tartott tovabb 10-15 percnel/

a hashelt passzokrol meg annyit, hogy kinek mi, ha hashelve vannak a jelszavak a spammer attacker meg igy is szerez email cimeket, most az, hogy meg mindenkinek ugyan az a jelszava a freemailjen mint xzyz.hu -n az meg ne mar az uzemeltetok gondjai legyenek (tenyleg email vagod, cleartext, meg a freemailnel is ott van az adminisztratorok tuti tudjak olvasni az mboxokat) (te kocsog miert nem https-en loginolok a nonametranszfer.hu-ra)

tenyleg a legtobb csetszolgaltato is sql-ben tolja

szal erted, ket oldala van a dolognak.a masik meg, hogy az a cucc ahol a haveroda default phpmyadmin-t talalta meg teszt., ami adunak meg meg mindig jo :)

de tenyleg, szoval ha valaki nem figyel oda a dolgaira tobbszori figyelmeztetes utan azt meg szokas buntetni.

buherator · http://buhera.blog.hu 2009.12.20. 17:47:35

@foobared:
- A defacet én is elítélem, de az már végképp nem az én lelkemen szárad. Juteszembe, screenshotja van valakinek?

- Egy local file include már simán átmegy remote code exec-be, onnan meg a fantáziádra bízom a dolgot, szóval igen, nagyon gáz a történet.

- A jelszavakat hashelni olyan alap dolog, mint óvszert használni Rossznyavaja Várban (www.youtube.com/watch?v=DtcSYPjJbgg).

- Pontosan, ez egy teszt oldal volt, amely teszteltetett.

foobared 2009.12.20. 18:38:05

The URL contained a malformed video ID.

igen a deface nem a te lelkeden szarad mert te csendben maradsz, meg valoszinu igy sql-bol sima passwdbol nem is menne.

hat oke attol fugg mi volt a local file include mert ha egy fopent hackolt szet azert az nem annyira egyszeruen remote code

jo oke erted a netpincer is elkuldte nekem a jelszavam cleartext amikor irtam nekik emailt hogy bocsmar nem vagom mi az, es nem tudom milyen cimrol regeltem, de ez a felhasznaloi nevem.

most a te netpincer hozzaferesed jelszavat is elkuldte volna a kedves szupportos

masreszrol amugy megsugom, de nem olyan csira lapok mint a new bkv hu nem hashel passot hanem SOKKAL nagyobb lapok sem, es ennek TOBB oka van :)

tudod ha az informaciot magad elol elrejted...

szoval en ertem ezeket a privacy problemakat amiket mondasz, meg nyilvan szenzitiv is a dolog, viszont en elitelem meg mindig azt, hogy egy vagy ket fejleszto pancsersagat ravarja barki is barmilyen cegre, az a nem korrekt

magyarorszagon keves tokos fejleszto van am, gondolom tisztaban vagy vele.

ja es meg valami :) google site:.hu inurl:phpmyadmin

szepjonapot!

buherator · http://buhera.blog.hu 2009.12.20. 18:49:13

@foobared:

"meg valoszinu igy sql-bol sima passwdbol nem is menne." xD

"masreszrol amugy megsugom, de nem olyan csira lapok mint a new bkv hu nem hashel passot hanem SOKKAL nagyobb lapok sem, es ennek TOBB oka van :)" - tudom, és rájuk is rájuk férne némi seggberúgdosás az biztos. Ha valamit nem tudnak hash-elt jelszavakkal megoldani, akkor ott nagy gond van. Mondanál egy jó okot (bár már előre félek mennyit fogunk ezen szövegelni)?

"hogy egy vagy ket fejleszto pancsersagat ravarja barki is barmilyen cegre, az a nem korrekt" - itt nem józsikával meg pistikével szerződtek, hanem egy céggel, aki pancsereket alkalmaz. És ez nem csak privacy probléma, ahogy a mellékelt ábra mutatja.

buherator · http://buhera.blog.hu 2009.12.20. 18:52:44

A videó megtekintése egy "Become a hacker" feladvány :)

EQ · http://rycon.hu 2009.12.20. 20:30:57

@buherator: lol :D

Btw nagyon tetszik h vannak önjelölt emberek akik 5perc utánna olvasás és pár év fejlesztgetés után már mindent vágnak a témáról.

Akkor mégis mi a f*sznak phd it-secből? törüljük el, végülis 5perc alatt mindenki expert lehet. Nem kell éveket ülni, kódolni, olvasni a témáról, 5perc alatt más úgyis jobban tudja.

Nem szeretném védeni buherátort, és nem kívánok állást foglalni a posttal kapcsolatban, de azért tényleg, ha az adófizetők pénzéből épül a vár, akkor legalább ne legyen lyukacsos, vagy legyen a tenderben az is benne, hogy pentesteltetni kell az oldalt. Megtörtént?

Még egy kérdés, melyik a kissebbik rossz? Ha eladják az adataid, vagy ha tudod h eladják az adataid?

_2501 2009.12.21. 09:43:28

"Még egy kérdés, melyik a kissebbik rossz? Ha eladják az adataid, vagy ha tudod h eladják az adataid?"
rofl :DD

Szent szar... foobared... látványosan nem értesz hozzá, ne szóljalj tech témában.
Osztanád az észt, mondanál okosat, mondanál újat, de nem megy... miért?

"szoval ha a bejarati ajtom nincsen bezarva, de te betorsz hozzam"
ha nincs bezárva, nem kell betörni. :D

Ez a házas hasonlat nagyon nem jó, mindenki felejtse már el a francba.

synapse · http://www.synsecblog.com 2009.12.21. 10:03:50

Annyira nem tudok mar ehhez a posthoz hozzaszolni, hogy faj. Mi a picsaert akarjatok osszehasonlitani az itsecet hazepitessel meg mindenfele baromsaggal? Nem lehet bazdmeg, mert NEM UGYAN AZ. Aki nem erti az ne hasonlatot keressen, hanem egy kompetens ugyvedet.

Az en allasfoglalasom a problemaval kapcsolatban pedig az, hogy a bkv-nak es az egesz kormanynak a jo kurva anyjat, mert a fizum felet ilyen szarokra kurjak el. Dogoljon meg a BKV meg az osszes allami szar a francba es legyen verseny. Az kegyetlen, de legalabb mukodik. Le a korrupcioval, le a kormannyal, anarhiindo:ju'ke'j.

Es akkor most jo kis elfoglaltsaga lesz buheratornak kimoderalni ezt a flaimbait-et es a sok faszfej kommentarjat.

Ezuton kivanok mindenkinek fsck mentes Boldog Karacsonyt ;)

synapse

UI: nezzetek familyguyt

Mike36 2009.12.23. 05:46:24

@Mr. Kobayashi: így van
ha nyitva hagyom az ajtót és betőrnek, attól az még betörés
a kedves blogger betört a BKV szerverére
talán megússza felfüggesztettel

Mike36 2009.12.23. 05:58:15

@buherator: ettől ez még nem közérdekü adat, mert te így gondolod, és hiába képzeled magad Robin Hoodnak ettől ez még bűncselekmény

Mike36 2009.12.23. 06:00:23

@foobared: jobb ha tudja a nagyérdemű, hogy nekünk mint olvasóknak, kötelességünk volna feljelentést tenni, ugynis tudomást szereztünk egy bűncselekményről, ha betü szerint vesszük a törvényt

buherator · http://buhera.blog.hu 2009.12.23. 09:55:17

@Mike36: Akkor jelents fel engem meg az összes olvasót is, szerintem ez a legjobb megoldás!

_2501 2009.12.23. 11:18:15

@Mike36: El sem olvastad a cikket te majom. Te is a házas hasonlattal jössz... :"" Nem lehet az informatikára ráhúzni, de magadfajta troll ezt sohasem fogja tudni megérteni. Szánalmas vagy, szard össze magad.

leet 2009.12.24. 12:02:00

Mike36: És hogy bizonyítod be, hogy buherátort tört be a bkv szerverére?

Így kezdődik a post: "Egyik kedves régi olvasóm a múltkori BKV-s poszton felbuzdulva elkezdte nézegetni az elméletileg mostanában élesedő új BKV weboldal háza táját."

Erről ennyit.

Ha veszel egy kocsit, és az első kanyarba 120-nál kiesik a jobb első kerék aminek hatására nekicsapódsz egy fának, akkor még véletlenül se az autó gyártója a hibás hanem a fa.(csak, hogy a hülye hasonlatoknál maradjunk)

Az sql injection egy nagyon régóta ismert sebezhetőség, és borzasztóan könnyű ellene védekezni. Az a programozó, aki nem tudja, hogy hogy kell az inkább menjen el utcaseprőnek. Ja és ahoz, hogy egy idegen távolról be tudjon lépni phpmyadminba, elég sok hibát el kell követni.

Mellesleg volt már szerencsém a fent említett cég másik munkájához is, ami nem beta test fázisban volt hanem egy éles rendszer, és sokkal kritikusabb, mint egy szaros bkv honlap. Ott nem programozói balfaszkodás volt hanem rendszergazdai. Rég láttam már ilyen gány munkát...

ave 2010.01.06. 20:53:32

Hat ezt eleg gaz kitenni, addig, amig nem kerult javitasra.
Ertem en, hogy neked ez a trofea, hogy megint talaltal egy bena fejlesztest.

Szerintem igenis betorest kovettel el azzal, ha kert jelszot a myadmin csak te kitalaltad.

buherator · http://buhera.blog.hu 2010.01.06. 21:11:35

@ave: Nem írom le még egyszer, gyakorold az értelmező olvasást! Nem volt jelszó egyébként.