Атака которой не было
Недавно заспорили с M.E.Doc об уязвимостях, Непете и вот том всём. Неконструктивный какой-то получился диалог и невежливый. Даже прямо-таки хамский местами. Никаких заготовок из раздела FRD у меня припрятано не было, так что с сервером медка получился очередной low-tech hack: открываю список поддоменов, просматриваю сайты, на втором сайте "ddd" вижу форму входа для дилеров, и вбиваю кавычку - с кавычкой ошибка есть, а без кавычки ошибки нет - sql injection, натравливаю sqlmap, и что мы видим? Видим, что сайт подключен к MySQL рутом и доступно сразу несколько баз. На всё про всё - ровно две минуты. Я ничего с сервера скачивать не стал, а потегал официальную страницу и участников флейма. Через три часа (особенно после подсказки про SQLi) дыру закрыли. Обычное дело. Гораздо интереснее то, что могло бы произойти. Думаю, что на долом сервера ушло бы ещё минут пять, а дальше хакеры могли бы раскидать каких-нибудь Телеботов или Непеть ещё раз. А может и раскидали? Кто знает, кто знает?..
P.S. Ах, да, там мне говорили про пост с признанием уязвимости, но че-то нет пока. Святослав Крижевич как же так? Олеся Линник вы же в гости звали, как-то не согласуется с законами гостеприимства.
Недавно заспорили с M.E.Doc об уязвимостях, Непете и вот том всём. Неконструктивный какой-то получился диалог и невежливый. Даже прямо-таки хамский местами. Никаких заготовок из раздела FRD у меня припрятано не было, так что с сервером медка получился очередной low-tech hack: открываю список поддоменов, просматриваю сайты, на втором сайте "ddd" вижу форму входа для дилеров, и вбиваю кавычку - с кавычкой ошибка есть, а без кавычки ошибки нет - sql injection, натравливаю sqlmap, и что мы видим? Видим, что сайт подключен к MySQL рутом и доступно сразу несколько баз. На всё про всё - ровно две минуты. Я ничего с сервера скачивать не стал, а потегал официальную страницу и участников флейма. Через три часа (особенно после подсказки про SQLi) дыру закрыли. Обычное дело. Гораздо интереснее то, что могло бы произойти. Думаю, что на долом сервера ушло бы ещё минут пять, а дальше хакеры могли бы раскидать каких-нибудь Телеботов или Непеть ещё раз. А может и раскидали? Кто знает, кто знает?..
P.S. Ах, да, там мне говорили про пост с признанием уязвимости, но че-то нет пока. Святослав Крижевич как же так? Олеся Линник вы же в гости звали, как-то не согласуется с законами гостеприимства.
Прочитал ебучий стыд, выжигающий глаза "телефонный разговор Трамп - Зеленский". Любопытно, господин Трамп повторяет конспирологическую теорию о том, что копия "сервера Клинтон" может находится в Украине. Семнадцать разведывательных контор не могут убедить своего президента в том, что Россия - враг. А остальное, особенно дурню зеленой тряпки, даже комментировать не хочется https://www.whitehouse.gov/wp-content/uploads/2019/09/Unclassified09.2019.pdf
Блядь, мои глаза! Они кровоточат. Я уже даже начал забывать какие именно скрины я хотел запостить с такой подписью, но это нечто! #draintheswamp
Кто-то решил придумать магическую кнопку "Заебись" (Спасибо Володимир Кондрашов за наводку) По просьбам, стало быть, обеспокоенной общественности. "Общественности" не приходит в голову, что дядя мусор должен такое объявление найти, попытаться купить поддельный документ и посадить изготовителя подделок в тюрьму? Нет, сука, нужно испортить Интернет и зарыть голову в песок.
Зеленский просто предатель. Даже не очень важно чего в нём больше - бесстыжей глупости или беспросветной подлости.
У меня есть друг, который совсем не программист, не безопасник и уж тем более не хакер, а фотограф, но даже он знает в отличии от кривоногих рукожопов из Київська міська державна адміністрація - КМДА, что так код писать нельзя. #FRD #ContentSpoofing
P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил
P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"
P.S. В ходе увлекательной дискуссии выяснилось, что #XSS месячной давности (второй скрин) тоже никто не исправил
P.P.S. В комментариях ещё много вкусного и поучительного, включая ещё одну незакрытую дыру и взаимные обещания "позвонить по поводу того чорта"
Красивейший иск Департамента Юстиции против Сноудена https://www.justice.gov/usao-edva/press-release/file/1203231/download Эд недавно опубликовал автобиографическую книжку "Permanent record" и правительство США обвиняет его в нарушении NDA и правил ЦРУ и АНБ (книжку должны были просмотреть компетентные товарищи), но они не собираются останавливать публикацию, о чем говорит Эд в тви https://bit.ly/3598xaJ , ведь первую поправку никто не отменял ("В ходе процесса, Соединенные Штаты не собираются запрещать или ограничивать публикацию или распространение книги Сноудена"), а просто хотят отобрать у Эда все доходы, роялти и права на выступления и публикации. Очень изящно. Книжку можно скачать здесь https://bit.ly/35b0t9e Я считаю, что человек связавший свою судьбу с утечками, не имеет морального права на защиту своих авторских, а особенно смежных прав.