forum.zgorzelec.info :: Wyświetl temat - zinfo.pl - dziurawy portal z danymi użytkowników

Raport Kapitana Żbika

Dot. Portalu Regionalnego ZINFO.pl

Jako grupa młodych ludzi staramy się wykryć niebezpieczne luki w zabezpieczeniach popularnych serwisów regionalnych.

Jak wiadomo serwis tego typu przechowuje ważne informacje takie jak dane użytkowników oraz firm. Dlatego serwis powinien być zabezpieczony bardzo solidnie.

Wasz serwis powstał w oparciu o system zarządzania treścią (Content Management System) Joomla! (swahili razem!) rozprowadzany na zasadach open source - GPL. Takie rozwiązanie jest racjonalne tylko i wyłącznie wtedy, kiedy administrator na bieżąco instaluje aktualizacje – zarówno te krytyczne jak i te mniej ważne. Pamiętajmy też o aktualizacji komponentów Joomli! takich jak na przykład JCE Admin. Kolejną sprawą są ustawienia strony – na przykład register_globals.

Strona ma wiele niedociągnięć spowodowanych głównie złą konfiguracją i niestosowaniem się do ogólnych zasad bezpieczeństwa – o tym przeczytać możecie w dokumentacji Joomla! dostępnej na oficjalnej stronie projektu (dodatkowo dokumentacja jest w instalatorze!)
Na stronę dostaliśmy się o godzinie 12:00 – 12:20. Podkreślam tu że naszym celem był test nie atak!

Zmieniliśmy siedem rzeczy:
1. Pokaz slajdów na stronie głównej
2. Komunikat o słabych zabezpieczeniach
3. Hiperłącze w okolicach panelu logowania
4. Flagi w dziale Artykuły
5. Oferta / Cennik – informacja
6. Zamiana zdjęcia burmistrza Zgorzelca
7. Zamiana zdjęcia w artykule „Świadkowie Jehowy zapraszają”

Przepraszamy za zamieszanie, ale należy poprawić te luki jak najszybciej – dla bezpieczeństwa użytkowników! My tylko testowaliśmy zabezpieczenia… Strach pomyśleć co by się stało gdyby intruz miał wrogie zamiary!
Kapitan Żbik z załogą i jego okręt !

Autor:	aleksander [ 03 lip 2007, 15:32 ]
Tytuł:	zinfo.pl - dziurawy portal z danymi użytkowników
Dzisiaj na nasz adres przyszła nietypowa przesyłka od... Kapitana Żbika i jego załogi... Grupa osób zajmuje się sprawdzaniem zabezpieczeń stron internetowych, które przechowują dane swoich użytkowników. Wczoraj na pierwsze ogień poszła strona zinfo.pl, która jak się okazało była bardzo dzuirawa. W przesyłce znajdowały się zrzuty ekranowe strony z psikusami oraz "Raport Kapitana Żbika", który zawierał informacje z testowania strony. oto treść raportu: Cytuj: Raport Kapitana Żbika Dot. Portalu Regionalnego ZINFO.pl Jako grupa młodych ludzi staramy się wykryć niebezpieczne luki w zabezpieczeniach popularnych serwisów regionalnych. Jak wiadomo serwis tego typu przechowuje ważne informacje takie jak dane użytkowników oraz firm. Dlatego serwis powinien być zabezpieczony bardzo solidnie. Wasz serwis powstał w oparciu o system zarządzania treścią (Content Management System) Joomla! (swahili razem!) rozprowadzany na zasadach open source - GPL. Takie rozwiązanie jest racjonalne tylko i wyłącznie wtedy, kiedy administrator na bieżąco instaluje aktualizacje – zarówno te krytyczne jak i te mniej ważne. Pamiętajmy też o aktualizacji komponentów Joomli! takich jak na przykład JCE Admin. Kolejną sprawą są ustawienia strony – na przykład register_globals. Strona ma wiele niedociągnięć spowodowanych głównie złą konfiguracją i niestosowaniem się do ogólnych zasad bezpieczeństwa – o tym przeczytać możecie w dokumentacji Joomla! dostępnej na oficjalnej stronie projektu (dodatkowo dokumentacja jest w instalatorze!) Na stronę dostaliśmy się o godzinie 12:00 – 12:20. Podkreślam tu że naszym celem był test nie atak! Zmieniliśmy siedem rzeczy: 1. Pokaz slajdów na stronie głównej 2. Komunikat o słabych zabezpieczeniach 3. Hiperłącze w okolicach panelu logowania 4. Flagi w dziale Artykuły 5. Oferta / Cennik – informacja 6. Zamiana zdjęcia burmistrza Zgorzelca 7. Zamiana zdjęcia w artykule „Świadkowie Jehowy zapraszają” Przepraszamy za zamieszanie, ale należy poprawić te luki jak najszybciej – dla bezpieczeństwa użytkowników! My tylko testowaliśmy zabezpieczenia… Strach pomyśleć co by się stało gdyby intruz miał wrogie zamiary! Kapitan Żbik z załogą i jego okręt ! Dodam jeszcze, że poprosiłem grupę o przebadanie zabezpieczeń zgorzelec.info. Jak tylko otrzymam raport, zamieszczę to na stronie. Poniżej zrzuty ekranowe oraz pełna wersja raportu a formacie PDF.

Autor:	zuter [ 03 lip 2007, 17:26 ]
Tytuł:	Re: zinfo.pl - dziurawy portal z danymi użytkowników
Nadmienię tu tylko że w artykule „Świadkowie Jehowy zapraszają” zdjęcie jest NADAL :O PATRZCIE

Autor:	mrbyte [ 03 lip 2007, 18:16 ]
Tytuł:
To było do przewidzenia swoją drogą. Już to jakoś tak jest, że ten co najgłośniej krzyczy i najżarliwiej się przechwala, najmniej jednocześnie potrafi. No i mamy lokalnych Gorionów. Z treści maila wprost to nie wynika, ale jeżeli mieli ustawione register_globals, to ja nie mam pytań. Z powrotem do przedszkola.

Autor:	viper126pzgc [ 04 lip 2007, 11:05 ]
Tytuł:
zinfo.pl z góry było nastawione na doprowadzenie do upadku naszego portalu zgorzelec.info. Cel swój zamierzali osiągnąć nawet kosztem ewentualnego bamkructwa (czyt. za każdą cene chcieli zniszczyc Alexa) Żałosne, że są jeszcze ludzie tak zacietrzewieni w swej nienawiści. Na szczęście ich działania nie przynoszą zakładanych przez nich skutków, a ich dzieło nie budzi większego zainteresowania wśród internautów. Wystarczy spojżeć na ich forum, które (wynika to z treści postów) odwiedzane jest głównie prze 12-14 letnie dzieci mające w głowie tyle co obsługa tego żałosnego portalu.

Autor:	zuter [ 04 lip 2007, 17:16 ]
Tytuł:
Znając upór administratora (pseudo – administratora) strony zinfo.pl muszę przyznać że mają wysokie mniemanie o sobie. Mimo że otrzymali wyraźne (bo ciężko o wyraźniejsze) ostrzeżenie – nic nie zrobili aby poprawić zabezpieczenia!!! To skandal… Na szczęście nie mam tam konta

forum.zgorzelec.info http://forum.zgorzelec.info/

zinfo.pl - dziurawy portal z danymi użytkowników http://forum.zgorzelec.info/viewtopic.php?f=61&t=2436	Strona 1 z 2

Autor:	aleksander [ 04 lip 2007, 22:26 ]
Tytuł:
Zuter, czy mi się wydaje, czy wejście na ich stronę jest tak banalne, że nawet ty wiesz jak to zrobić ?

Autor:	zuter [ 05 lip 2007, 13:20 ]
Tytuł:
aleksander pisze: Zuter, czy mi się wydaje, czy wejście na ich stronę jest tak banalne, że nawet ty wiesz jak to zrobić ? Czy ja wiem... Po prostu znam admina i wiem co to za kolo... Ty przecież też go znasz i wiesz o czym mówię... Wracając do tematu... Słyszałem że luki w zabezpieczeniach są nadal... A świadkowie J. nadal mogą być zbulwersowani wyglądem Jezusa Nie rozumiem czemu tego nie poprawili... Poza tym zinfo.pl wydaje się być ostatnio zaspane... Nie ma tam praktycznie żadnych nowości czy też ruchu... No jednym słowem śpią sobie smacznie... Hehe... Mam nadzieje że Ty nie śpisz i pracujesz pilnie... ???

Autor:	aleksander [ 05 lip 2007, 14:45 ]
Tytuł:
My jak zwykle dłubiemy sobie coś tam w tym internecie dalej Wracając do tematu, ja też się trochę niecierpliwię bo może się okazać, że nasze zabezpieczenia będą dla Żbika do obejścia. Póki co czekam na raport.

Autor:	zuter [ 05 lip 2007, 15:15 ]
Tytuł:
aleksander pisze: My jak zwykle dłubiemy sobie coś tam w tym internecie dalej Wracając do tematu, ja też się trochę niecierpliwię bo może się okazać, że nasze zabezpieczenia będą dla Żbika do obejścia. Póki co czekam na raport. Nikt tego nie wie… W sumie jak wiadomo Selfmade ma do siebie to że w przeciwieństwie do Open Source mało osób ma dostęp do kodów źródłowych i ścieżek… Więc chyba Żbiki Ci nie zagrożą… Nie wiem. Mogę tylko gdybać Nie wiadomo co Gingers przyniesie!

Autor:	Hexadecimal [ 12 lip 2007, 23:12 ]
Tytuł:
kazda strona internetowa ma luki nawet twoja alexiatko wiec z czasem wkurzysz kogos i ten ktos wrabie ci sie na strone pozatym na to nie ma reguly a co do www.zinfo.pl artykuly o newsach zawsze sa i beda tyle ze jest okres wakacyjny i nasz redaktor wyjechal na wakacje pozatym zanim cos napiszemy musimy to dobrze sprawdzic by nie popelnic bledow .... a pozatym dobrze ze sie wbili na strone zinfo.pl gdyz poprawili zabezpieczenia a czlowiek uczy sie na bledach ...

Autor:	bombas3 [ 13 lip 2007, 6:57 ]
Tytuł:
Cytuj: alexiatko Cytuj: tyle ze jest okres wakacyjny i nasz redaktor wyjechal na wakacje

Autor:	makaron [ 13 lip 2007, 9:49 ]
Tytuł:
Hexadecimal pisze: pozatym zanim cos napiszemy musimy to dobrze sprawdzic by nie popelnic bledow .... a pozatym dobrze ze sie wbili na strone zinfo.pl gdyz poprawili zabezpieczenia a czlowiek uczy sie na bledach ... Sprwdzajcie, sprawdzajcie tylko jeszcze lepiej bo błędy nadal "robicie" i uczcie się ortografii

Autor:	Hexadecimal [ 13 lip 2007, 10:41 ]
Tytuł:
makaron pisze: Hexadecimal pisze: pozatym zanim cos napiszemy musimy to dobrze sprawdzic by nie popelnic bledow .... a pozatym dobrze ze sie wbili na strone zinfo.pl gdyz poprawili zabezpieczenia a czlowiek uczy sie na bledach ... Sprwdzajcie, sprawdzajcie tylko jeszcze lepiej bo błędy nadal "robicie" i uczcie się ortografii Obrazek No widzisz niestety ja sie nie zajmuje dzialka redaktora i osoby ktora pisze nowosci ....

Autor:	mrbyte [ 13 lip 2007, 11:56 ]
Tytuł:
Hexadecimal pisze: No widzisz niestety ja sie nie zajmuje dzialka redaktora i osoby ktora pisze nowosci .... U was widzę całkiem jak w tym klasycznym dowcipie: jeden umie czytać, drugi pisać

Autor:	makaron [ 13 lip 2007, 14:15 ]
Tytuł:
Hexadecimal, aluzja była do Ciebie, napisałeś z błędem: "pozatym" - poprawnie to tak powinno się pisać: poza tym. W razie wątpliwości patrz: http://so.pwn.pl/zasady.php?id=629475

Strona 1 z 2	Strefa czasowa UTC+1godz.
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/