Цнотливість, Google і програмування

Day 2,113, 07:43 Published in Ukraine Poland by nameless.if

Вітаю, товариство!

Якось так сталось, що в мене до цих пір вийшла одна стаття з боку журналістики, всі решта - просто технічні, або роздачі, або опис акції з апом тренувалок.

І ось якось випала нагода вляпатись в лайн написати ще одну статтю, вже про політику.


Передмова

Ні для кого, в принципі, не таємниця, що я WEB-програміст, займаюсь як frontend- так і backend-розробкою, а тому заходячи на якийсь сайт, трішечки складніший ніж односторінковий сайт візитка Жмеринського м'ясо-молочного комбінату імені Руднєва (будь-які збіги з RL - випадковість), відкриваю його вихідний код, щоб проглянути з чого він висран зроблений.


Почнемо?
І от попалась мені сторінка з TOP-500 Задротів еНеньки. Чом би й ні? Поглянемо, що там і як, тим паче, що згідно анонсу оновлюється вона динамічно.

З виду нічого, бо шукати вразливості в Google - то справа невдячна, враховуючи їх штат тестувальників. Але документ приватний, тому треба його "відкрити" для своїх нужд


Тепер працюватимемо з копією, вона вже наша власна, а отже з нею можна робити все, що заманеться. Відкриваю копію, і дивлюсь, як же організували динамічну зміну даних.


Тихенько оху Дуже дивуюсь. Святі Ctrl, Alt i Del:


Виходить, використали пряме з'єднання до Бази Даних, логічно, для цього потрібно вказати адресу сервера, ім'я користувача і пароль.

Пробуємо зайти, хоча "пробуємо" - поняття умовне, оскільки дані бере GoogleDoc, то віддалений доступ до бази увімкнено 100%


Задля ввічливості тестуємо з'єднаня.


Все, як і прогнозувалось, гладенько.

Дивимось, що ж там глибоко всередині


І тут оху дивуємось вдруге. У відкритий доступ виставили реквізити головного користувача БД (Це якось підозрювалось виходячи з логіна ubuntu), з доступом до mysql, information_ та performance_schema, а значить можна робити з сервером все, що завгодно.

Переглянемо Базу Даних erbndb, нас цікавить саме вона:


Кілька різних таблиць, декотрі з статистикою попереднього івенту, декотрі (наскільки я зрозумів) з інформацією по онлайну під час останніх виборів (в конгрес та партійних), і одна, але з дуже романтичною назвою, bots.

Відкриваємо bots



Все доволі очікувано. (Паролі та емейли замалював, бо я не Робін Гуд, щоб забирати ботів в одних, та віддавати їх іншим).

Тепер трохи (а якщо не робляться бекапи, то досить добре) покараємо "цнотливих"



Полюбуємось:


Чудова картина, еге ж? 😉


P.S. Враховуючи те, що скрін з доступами до БД я виклав, то я ще й змінив пароль користувача `ubuntu`, не знаю, хто власник сервера, якщо раптом не зможете змініти пароль через root - пишіть, дам новий пароль 🙂

P.P.S. Для авторизації користувача навіть студенти вже використовують md5(), а ви їх в відкритому виді тримаєте. (Я ще й вашу систему управління ботами протестував 😉)

P.P.P.S. Це всім: коли починаєте щось писати, думайте хоча б як вчасно витягн про мінімальну безпеку, якби це був не єдиний сервіс на MySQL-сервері, ви фактично вбили б все, що на ньому було (бо мало хто, отримавши доступ, не грохне все до дідькової матері, щоб навчити вас думати головою)

P.P.P.S Це особливо всім:! Зав'язуйте ви з цими трансформерами

Хтозна скільки P.S. ВСІМ (і Патріотам, і Лібералам) Якщо ситуація не зміниться, я попробую вибивати "клин клином", і повірте, моя система буде непомітнішою, дієвішою і масовішою ніж та, яку я зараз знайшов, тому давайте будемо взаємоввічливими і гратимемо за правилами.

Няшок тут і так достатньо, тому щось няшніше знайти вже не зможу

Щиро Ваш Безіменний.IF 😉


Для шаутів:
Цнотливість, Google і програмування
http://www.erepublik.com/uk/article/-google-1-2313692/1/20