Skaičiuojama per 100 nulaužtų lietuviškų svetainių

[Adomas J.]

Kibernetinio saugumo specialistas Darius Šveikauskas atliko, rodos, paprastą lietuviškų internetinių svetainių tyrimą, bet sulaukė nuostabą keliančių rezultatų. Per keletą valandų buvo surasta 100 lietuviškų interneto svetainių, kuriose, valdytojams nežinant, yra patalpintas nepageidaujamas turinys. Pavyzdžiui, vietoj kultūros renginių Telšių kultūros centro tinklalapyje siūloma susirasti partnerių artimam bendravimui.

Paveiktų svetainių sąrašas

https://www.15min.lt/naujiena/aktualu/lietuva/skaiciuojama-per-100-nulauztu-lietuvisku-svetainiu-vietoj-kulturos-renginiu-siulo-pazintis-seksui-56-1206356

Sąraše galima rasti nuo valstybinių įstaigų iki privataus sektoriaus svetainių , kliuvo ir vienai iš žaidimų svetainių  slimi.lt (Counter Strike 1.6 serverių tinklui)  .

Jeigu jūsų svetainė patekto į sąrašą tai kuo greičiau susitvarkykite saugumo spragas.

[français]

as daunas, ar tsg nepastebiu nulauztu svetainiu? huh pls dox insta/msg.

[Avice]

Gal as aklas ar kaip? Apie kokia spraga cia sneka, kaip jie isilauzia? Jokios informacijos tik paistalai.

Gal pats tas Darius pasigavo virusa i narsykle ar i kompiuteri kuris keicia puslapiu turini naudojant jo pc ir tik tai matoma jam paciam.

O kad botai palieka koki nors tai irasa puslapy su kenkejisku turiniu tai ne naujiena, as ir pats galeciau cia patalpint koki kenkejiska irasa, bet jis greitai bus istrintas administracijos. Tai kas cia keisto?

bullshit...

[icecode]

Kažkokia Darius Šveikauskas reklama.

Pilna pažeidžiamų tinklapių yra juk. Tiesiog užtenka praskanuoti google dork'ą: php?id= site:lt. Praskanuoji sąrašą kurie yra pažeidžiami ir atlieki SQL injekciją ir tu jau matai visą MySQL duomenų bazę. Tai dieve mano kiek tų svetainių yra, gal apie mane irgi rašytų 15min?

Redaguota Rugsėjo 26, 2019, nario tancuj.

[NTQ]

;DD Atsirado mat saugumo specialistas. Į puslapį, kuris 100% filtruoja vartotojo įvesti neįmanoma įsilaužti. Kad ir tarkim select elementai. Gali per inspect element pakeisti į bet kokią value, todėl programuotojai turi patikrinti ar tokia select value yra duodama vartotojui pasirinkti ir jei ne, neleisti įterpti duomenis.

Tas pats ir su naršyklės info, ją gali manipuliuoti bet kas ir privesti bet kokių hieroglifų. Mačiau, jog kai kurie puslapiai, kurie nefiltruoja browser info, pradeda warning'us mesti. SQL injekcija jau praktiškai nebeveikia, nebent kūrėjas yra script-kiddie ir nepasigooglina programavimo kalbos elementarių funkcijų. Kitas būdas yra pažeidimas per serverį, jei pats puslapis iš programuotojo pusės 100% apsaugotas, tai tuomet gali bandyti pakenkti jam.

Bet koks gerbiantis save projektas turbūt žino, kad neverta pirkti pigių paslaugų, kadangi pats paslaugų teikėjas gali pavogti failus ar įkelti kokį nors brudą ir net nesuprasi, o įrodymų, kad jie taip pasielgė paprasčiausiai neturėsi.

Dar 3 būdas yra PC užkratas, na, bet retesnis. Visi developer'iai turi turėti antivirusinę vien dėl projekto privatumo & saugumo, todėl jį lengva išvengti. + nesisiųsti unknown įskiepių, kurių source code nėra paviešintas arba toks netvarkingas, kad negali patikrinti ar yra koks nors backdoor integruotas kode.

Slaptažodžiai irgi turi būti bent 15 simbolių (geriausiai random generuoti) ir nenaudoti vienodų ant FTP, DB, nes jei pažeis bent 1 skyrių, negalės pakenkti kitam. Ir root... Labai retai jį naudoti ir praktiškai apleisti, jis skirtas tik atnaujinti serveryje techninius dalykus. Sukurti geriau atskirus user'ius su skirtingais slaptikais, jog jeigu 1 užkrėstų, negalėtų patekti į kitą.

Fsio. Visos saugumos paslaptys.

[Darius 1G]

prieš 8 valandas(-ų), tancuj. parašė:

Kažkokia Darius Šveikauskas reklama.

Pilna pažeidžiamų tinklapių yra juk. Tiesiog užtenka praskanuoti google dork'ą: php?id= site:lt. Praskanuoji sąrašą kurie yra pažeidžiami ir atlieki SQL injekciją ir tu jau matai visą MySQL duomenų bazę. Tai dieve mano kiek tų svetainių yra, gal apie mane irgi rašytų 15min?

dorkai tokie vaiksciodavo pries dafiga metu xD 

prieš 8 valandas(-ų), Avice parašė:

Gal as aklas ar kaip? Apie kokia spraga cia sneka, kaip jie isilauzia? Jokios informacijos tik paistalai.

Gal pats tas Darius pasigavo virusa i narsykle ar i kompiuteri kuris keicia puslapiu turini naudojant jo pc ir tik tai matoma jam paciam.

O kad botai palieka koki nors tai irasa puslapy su kenkejisku turiniu tai ne naujiena, as ir pats galeciau cia patalpint koki kenkejiska irasa, bet jis greitai bus istrintas administracijos. Tai kas cia keisto?

bullshit...

gi yra video kur parodo kas kaip, paprasciausiai dauguma is ju naudojo wordpress ir viena toki wordpress plugina kur gali shell ikelt turbut arba RCE turbut, nk mandro xD