Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

BKV - sokadik kör

2010.06.18. 10:58 | buherator | 10 komment

Már egy jó ideje kipróbálható a BKV új, "béta állapotú" weboldala. Nos, úgy tűnik, a múltkori hibát még mindig nem sikerült kijavítani:

És a legutóbbi fiaskó ellenére az Apache hozzáférésszabályozási lehetőségeiben sem sikerült elmélyedni a kedves üzemeltetőknek:

Mivel az első képernyőkép hátterében feltehetően egy PHP include() áll, a fájlok forráskódját (ilyen módon) nem lehet kiolvasni, ugyanakkor elméletileg lehetőség nyílik távoli kódfuttatásra, amennyiben sikerül egy www-data áltlal olvasható fájlba PHP kódot csempészni. 

Aztán van még itt pár érdekesség:

 (a teljes URL kitalálását az olvasóra bízom :)

Szóval van még mint dolgozni a szájton, de a javításhoz szükséges minden információ megtalálhtó az access logokban, és persze én is szívesen* válaszolok a felmerülő kérdésekre.

Címkék: bkv bug

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

GiveltAway 2010.06.18. 11:35:55

A beta.bkv.hu/inc/-be már raktak egy üres index.html-t. Úgy tűnik elkezdték olvasni az erbások a buherát.

moshi (törölt) 2010.06.18. 16:25:29

Juj, és alig öt óra múlva meg már 403 forbidden.

kz71 2010.06.18. 17:04:36

Ha informatikai miniszter lennék, akkor minden állami tulajdonban lévő cégnél folyó informatikai projekt esetében kötelezném a projektet, a következőkre:
1. tesztelésre és külön biztonsági tesztelésre elkülöníteni a projekt 20%-át, letétbe.
2. az élesítés előtti két hétben közzé tenni teszt site-on, és bárki nekimehet.
3. a javításokat gariba végzi a kivitelező.
+1. a teszt időszak végén osztoznak a tesztelőkkel a zsén.
tudom, hogy mint minden, ez is támadható, de ha semmit nem tesz az ember, akkor semmi nem fog javulni...less is more.
a cégnél is azon melózok, hogy az alvállalkozói szerződélsekbe kerüljön be, hogy amit nyilvános vagy piaci eszközökkel (tehát nem überkiráj profidekás hákolással) megtalálunk teszteléskor, azt gariba kell javítani.
kz

Mr. Pink2 2010.06.18. 20:27:25

@kz71: A 2. képen az url azt mutatja, hogy béta verzió, szal teszt site. És látod, neki is mennek. ;) A javításokat szvsz mindig mindenhol ingyen végzi a fejlesztő, erre ugy tom törvény kötelezi. Az be is b..na ha kiderülne hogy itt pénzt kérnek a javításért. :)

bsh 2010.06.21. 18:42:21

Először azt olvastam, hogy "sokadik sör" :).

Arp1 2010.06.29. 18:34:40

A PHP a felelős mindenért. Bizonyos szint fölött megtiltanám hogy cégek, szervezetek PHP alapú site-okat használjanak.

Egyrészt a PHP alacsonyra teszi a lécet, és ilyen kóklerek végzik el a munkát. Másrészt maga a PHP se teljesítményben se biztonságban nem kielégítő ha nagyobb cégekről esetleg közszolgáltatásokról van szól.

Például gondoltak a fejlesztők arra, hogy mi történik, ha több-tízezren a BKV menetrendet kezdik el egyszerre böngészni? Akkor majd jön a jajveszékelés, és több száz millió közpénzből új hardvert fognak a feladatra pazarolni, holott eleve nem PHP-ban kellett volna az egészet megcsinálni.

_2501 2010.07.01. 00:37:35

@Arp1: monsterfail...
Ennek fuss neki még egyszer.

.htaccess 2010.07.01. 19:12:31

@Arp1: A PHP-ről jut eszembe: a Facebook-ról hallottál már?

A kérdésem pedig az lenne, hogy nem a debreceni Informatikai Karon tanítasz véletlenül? Ott szoktak izmozni vele, hogy miben ne programozzanak, csak akkor lennének hatalmas szarban, ha valaki visszakérdezne, hogy akkor miben?