Цнотливість, Google і програмування
nameless.if
Вітаю, товариство!
Якось так сталось, що в мене до цих пір вийшла одна стаття з боку журналістики, всі решта - просто технічні, або роздачі, або опис акції з апом тренувалок.
І ось якось випала нагода вляпатись в лайн написати ще одну статтю, вже про політику.
Передмова
Ні для кого, в принципі, не таємниця, що я WEB-програміст, займаюсь як frontend- так і backend-розробкою, а тому заходячи на якийсь сайт, трішечки складніший ніж односторінковий сайт візитка Жмеринського м'ясо-молочного комбінату імені Руднєва (будь-які збіги з RL - випадковість), відкриваю його вихідний код, щоб проглянути з чого він висран зроблений.
Почнемо?
І от попалась мені сторінка з TOP-500 Задротів еНеньки. Чом би й ні? Поглянемо, що там і як, тим паче, що згідно анонсу оновлюється вона динамічно.
З виду нічого, бо шукати вразливості в Google - то справа невдячна, враховуючи їх штат тестувальників. Але документ приватний, тому треба його "відкрити" для своїх нужд
Тепер працюватимемо з копією, вона вже наша власна, а отже з нею можна робити все, що заманеться. Відкриваю копію, і дивлюсь, як же організували динамічну зміну даних.
Тихенько оху Дуже дивуюсь. Святі Ctrl, Alt i Del:
Виходить, використали пряме з'єднання до Бази Даних, логічно, для цього потрібно вказати адресу сервера, ім'я користувача і пароль.
Пробуємо зайти, хоча "пробуємо" - поняття умовне, оскільки дані бере GoogleDoc, то віддалений доступ до бази увімкнено 100%
Задля ввічливості тестуємо з'єднаня.
Все, як і прогнозувалось, гладенько.
Дивимось, що ж там глибоко всередині
І тут оху дивуємось вдруге. У відкритий доступ виставили реквізити головного користувача БД (Це якось підозрювалось виходячи з логіна ubuntu), з доступом до mysql, information_ та performance_schema, а значить можна робити з сервером все, що завгодно.
Переглянемо Базу Даних erbndb, нас цікавить саме вона:
Кілька різних таблиць, декотрі з статистикою попереднього івенту, декотрі (наскільки я зрозумів) з інформацією по онлайну під час останніх виборів (в конгрес та партійних), і одна, але з дуже романтичною назвою, bots.
Відкриваємо bots
Все доволі очікувано. (Паролі та емейли замалював, бо я не Робін Гуд, щоб забирати ботів в одних, та віддавати їх іншим).
Тепер трохи (а якщо не робляться бекапи, то досить добре) покараємо "цнотливих"
Полюбуємось:
Чудова картина, еге ж? 😉
P.S. Враховуючи те, що скрін з доступами до БД я виклав, то я ще й змінив пароль користувача `ubuntu`, не знаю, хто власник сервера, якщо раптом не зможете змініти пароль через root - пишіть, дам новий пароль 🙂
P.P.S. Для авторизації користувача навіть студенти вже використовують md5(), а ви їх в відкритому виді тримаєте. (Я ще й вашу систему управління ботами протестував 😉
)
P.P.P.S. Це всім: коли починаєте щось писати, думайте хоча б як вчасно витягн про мінімальну безпеку, якби це був не єдиний сервіс на MySQL-сервері, ви фактично вбили б все, що на ньому було (бо мало хто, отримавши доступ, не грохне все до дідькової матері, щоб навчити вас думати головою)
P.P.P.S Це особливо всім:! Зав'язуйте ви з цими трансформерами
Хтозна скільки P.S. ВСІМ (і Патріотам, і Лібералам) Якщо ситуація не зміниться, я попробую вибивати "клин клином", і повірте, моя система буде непомітнішою, дієвішою і масовішою ніж та, яку я зараз знайшов, тому давайте будемо взаємоввічливими і гратимемо за правилами.
Няшок тут і так достатньо, тому щось няшніше знайти вже не зможу
Щиро Ваш Безіменний.IF 😉
Для шаутів:
Цнотливість, Google і програмування
http://www.erepublik.com/uk/article/-google-1-2313692/1/20
Comments
first
VOTE!!!!!
second
Vote!
Грамотно. Цікавська стаття))) Колись теж таким бавився, але у них реально проблема із захистом))))
v12
Лол. Чесно зароблені вот і саб.
Та ну нах🙂))Ти чарівник🙂)ахахх🙂
Га-га-га! (регоче)
LoL, все кагбе ок, но дроп это жестоко. Нельзя так делать, епта. Это ж обычная солидарность - надо уважать чужой труд
Я вот тоже считаю, что нужно уважать труд ботоводов)
Невже ви дійсно вірите в дроп БД без попереднього бекапу?
[removed]
Кстати, а что возвращает запрос "SELECT COUNT(nickname) FROM bots WHERE isbanned = 0"?
Ксенон, хочеш прицінитись? 😃DD
Мало, враховуючи, які цифри називав ваш табір, там був мізер
крутько, але таке вже може тягнути на статтю КК, тому не варто хизуватись такими скрінами
Почему же? Он ничего не ломал, а просто воспользовался доступными логином и паролем для доступа к бд.
Нема там навіть натяку на статті КК.
А среди операторов, только те ники что на скрине?
тобі їх мало? РЕД, Словянин вже не не грають
Обновите уже свою методичку, чуть что, только и слышу "РЕД, Словянин", забудь их уже )) И да, я хочу знать, кто ещё оказался беспринципным му***ом.
Повір багато хто хоче сказати " а з етава мєста па падробнєй" ))
Верю ))
Давай мочи їх!Воте.
v + s
оператори: полехович, карпет, кулер )))
все как на подбор )))
Вангую каменты от либерастов, что это все провокация НГ-НФ!
в-принципе можно заверять статью и идти в милицию, заводить уголовное дело : )
А москалику все б ментовский сапог полизать)
лашара, у нас милиции давно нет)
не важно як вона називається, зміст один і той самий
цей дурік також в житті не містер ретрі називається, а все одно ретард-ретардом
срук, как там твои быдлокодерские боты поживают?
ретард, так само як і решта твоїх хворобливих фантазій
з.і. не пий путінку
срук, а не хочешь, например, грязно выругаться в мой адрес?)
ретард, я клятву Гіппократа давав, маю співчувати хворим, хоча тобі не співчуваю )
🙂
Cruk Shino ретард, я клятву Гіппократа давав, маю співчувати хворим, хоча тобі не співчуваю )
лол, Срук - лікар? Проктолог шолє?
Я теж співчуваю хворим. Це нормально. Хворого видно здалеку. Як і каліку. І не треба бути лікарем.
Слеєр, якось ти на особисті образи переходиш. Не гарно.
Но рефлексы-то остались)
мальчик, тут налицо уголовное преступление, если на проникновение в БД еще может быт закрыли бы глаза, то дроп базы - нормальная такая уголовщина.
вспомнил, ты же пхп-быдлокодер, то-то думаю у тя радости полные шаровары : )
Ретри, ты туп как пробка. Сам по себе пост не является доказательством, так как автор имеет полное право заявить, что это художественный вымысел. Это у вас в Рашке только дай повод что-то в интернете закрыть или кому срок впаять, так сразу.
а кто тебе, недалекому, про доказательство говорил? но материалом для заведения дела - является. а если еще кто-то заявит, что его бд дропнули...)
Заява про дроп бд является основанием для возбуждения уголовного дела. Но наличие этой статьи не повлияет на его ход.
про то и речь, заявителю нужно всего лишь сделать заверенный скриншот этой статьи и пойти заявить. а потом еще год наслаждаться.) И наличие этой статьи еще как повлияет на ход.
Які страсті.
В нас законодавство ще не на такій стадії маразму, як в РФ.
Для початку потрібно довести, що це АС під юрисдикцією UA, потім неправомірність цього доступу, оскільки самі дані для доступу були викладені в паблік, і для отримання цих самих даних не використовувалось ніяке спец. ПО.
Заводити справу можна, але вести її - навряд
причем тут юрисдикция в данном случае? и про доступ я сразу оговорился, что нет оснований. но если ты нанес вред, то за это полагается сидеть, например 🙂
Наприклад - невдале слово, коли мова йде про закон.
Якщо стаття не видалена, значить на те є причини.
есть причины, да)
🙂
"про то и речь, заявителю нужно всего лишь сделать заверенный скриншот этой статьи и пойти заявить. а потом еще год наслаждаться"
Цитату из УК Украины, плз.
даж полез поискать:
ст. 198-1 Уголовного кодекса Украины.
Умышленное вмешательство в работу автоматизированных систем, повлекшее искажение или уничтожение информации либо носителей информации