Komentarze

Pan "przepla" pisząc o pomieszaniu "aparatu pojęciowego nauki prawniczej z aparatem pojęciowym nauki informatycznej" chce nam chyba udowodnić, że prawo jest zupełnie oderwane od rzeczywistości...

No bo jest oderwane.
Prawo piszą fachowcy, którzy znają się na prawie, a nie znają na niczym innym. Bywa niestety tak, że nawet, jak mają podpowiadaczy, to ich nie słuchają, bo przecież wiedzą lepiej...

A tak swoją drogą, to uzasadnienie wyroku jest o tyle złośliwe, że wskazuje na brak zabezpieczenia. To tak, jakby ktoś wszedł na cudzą działkę przez dziurę w płocie. Było włamanie ? Nie było. A więc i nie ma przestępstwa. Dopóki więc coś nie zginie, ani nie zostanie zniszczone - niewiele da się zrobić. Polskie prawo jest pod tym względem nadzwyczaj konsekwentne.

'; DROP TABLE comments; -- jeśli to czytasz, nie udało się :P

ammpp, prawa nie piszą fachowcy, którzy zanają się tylko na prawie. Prawo piszą politycy, którzy nie znają się praktycznie na niczym.

Zauważ jednak że osoba pozwana dowiedziała się o Twojej dziurze w płocie i powiadomiła o tym producenta Twojego płotu.
Jako że producent nie dość że zrobił Ci fatalny płot to jeszcze olał sprawę.
Pozwany skontaktował się z Tobą mówiąc że masz dziurę w płocie.
Nagle kontaktuje się z Tobą producent płotu i zamyka Cie za kratki dlatego że pokazałeś jego klientom że produkuje wadliwe płoty.

Ja tak to zrozumiałem. Po pierwsze nie możecie rozpatrywać cyfrowych zabezpieczeń pod kątem płotu. To nie to samo. Patrzysz na płot i widzisz że jest do dupy. Patrzysz na okienko logowania i nie wiesz czy przepuści Cie czy nie. Możesz jedynie spróbować.

Pamiętajcie że pozwany nie wykorzystał zdobytych danych. Mało tego, powiadomił o błędach firmę która wypuściła badziewny soft (zabezpieczenie przed SQL Injection to banał a sam fakt wystąpienia błędu na stronie logowania świadczy o amatorszczyźnie programistów tej firmy) oraz osoby u których go wykrył. Zamiast podziękować i lukę naprawić to postanowili go zamknąć.

Cóż, tutaj wychodzi na jaw szczera prawda. Sieć jest pełna profesjonalistów, ludzi kompetentnych oraz amatorów którzy myślą że po kursie PHP napiszę super CMS i jeszcze go sprzedadzą. Sam miałem podobną historię ale nie tak drastyczną.
Zobaczyłem autorski CMS i z ciekawości przypuściłem "atak SQL Injection" który swoją drogą ciężko nazwać atakiem. Modyfikujesz po prostu hasło użytkownika. Jeżeli jest ono sprawdzane w formie niezaszyfrowanej to Cie mam (w moich projektach hasło nigdy nie jest przechowywane na serwerze w surowej formie, to głupota. Niedogodność to brak możliwości odzyskania zapomnianego hasła, można je tylko zmienić na inne w takim wypadku).
W każdym razie ten "atak" się powiódł. Powiadomiłem właściciela serwisu że należy to naprawić i żeby skontaktował się z autorem jego strony. Podałem również możliwości naprawy (nieodpłatnie, z dobroci serca). Podziękował mi a potem dowiedział się od autora że jestem amatorem i że nie ma zagrożenia. (ciekaw jestem co to za programista i czy nadal działa :-D).
Odpisałem Panu Pawłowi K. z instrukcją jak można dostać się na dowolne konto w serwisie nie znając hasła (w tym jego oznaczone jako po prostu admin). Gdy przekonał się na własne oczy, zwyczajnie zaproponował mi za opłatą poprawienie kodu. Międzyczasie wyszło jeszcze kilka luk które mogły zostać użyte do ataków XSS i SQL Injection.

Więc jak, też mam zostać zamknięty ? Włamałem się na stronę Pawła K. ale chyba lepsze wykrycie i powiadomienie o luce jak wykorzystanie zdobytych danych bo to zrobił oskarżony. WYKRYŁ LUKĘ !. Przy okazji w miejscu w którym nigdy nie powinna się pojawić. Chciał bym poznać firmę która sprzedawała takie skrypty. Należało by przestrzec przed nimi klientów na forach traktujących o tworzeniu stron WWW.

Niestety. Masz pelna racje. Wielu jest "informatykow", wielu "programistow" po kursach PHP. Jedni maja znajomosci, a drudzy na pale pisza cos co moze i ladnie wyglada od strony uzytkowej, ale od strony programistycznej to pelna FUSZERKA. Pamietamy przeciez "wlam" na strony aplikacji PKO SA. Bank tez jakos nie widzial winy po stronie firmy (ktora tak nawiasem szybko zwinela rekomendacje a bank zmienil firme), tylko zwalala na internautow. Podobnie jest tu. Tez poprawialem rozne kody. Bywalo ze ci co pisali kompletnie nie mieli pojecia co robia. Ja nie musialem przeprowadzadzac jakiegos spektakularnego ataku na SQL. Bywalo ze wystarczylo ustawic parametr w URL na wartosc niezerowa i juz byl wjazd do panelu klienta/admina. Czasem wystarczylo ustawic login i "jakies haslo" w ciasteczku i skrypt puszczal, czasem wogole nie trzeba bylo sie logowac tylko znac odpowiedni adres bo skrypt ktory cyztal nie sprawdzal zabezpieczen. W koncu autor uznal ze obcy nie bedzie na pale probowal adresuy i jak skrypt nazywa sie main.php to na pewno tego nie sprobuje....

Programowanie jest sztuka. Nie kazdy musi go uprawiac. Widmo jednak kasy sprawia ze wielu chce sie wykazac i wypuszcza chlam. Wystarczy popatrzec na allegro. Tam jest wiele "autorskich" CMSow pisanych nieobiektowo, z wieloma lukami remote SQL injection, XSS, Sa tacy co sprzedaja joomle czy inny "darmowy CMS".

Ale maja dobry przyklad. Wielu moze nie wie (a moze i wie) ze niejaki wordpress wypuszcza oprogramowanie, ktore w pliku index.php ma przygotowanego exploita. Jesli atakujacy zna haslo i ustawi je w ciasteczku to moze wykonac dowolny kod z serwera atakowanego. Ot taki ci "autorski" CMS do tresci.

~Bebe -
[code]

[/code]

gdzie tu jest exploit ?
Ogolnie jest zasada ze jezeli znasz jakis blad to wysylasz maild do autorów albo do jakiegos systemu BUG-ów, zaden program nie jest bez bledow,

niestety polska (specialnie z małej) to nie jest normalny kraj i firma zamiast poprawić kod to wzywa policje. Na pewno jest masa ludzi która wie jak przejąć pełna kontrole nad serwerem (i nie ma złych zamiarów) ale po przeczytaniu takiego artykułu odpusci sobie powiadomienie o tym fakcie, i nie zostanie to poprawione aż do czasu gdy ktos sie wlamie i pokasuje troche danych.

Ktoś wie co to za firma tak potraktowała człowieka ?

W Polsce? Tak.

ciaganie po sadach ludzi, ktorzy chca pomoc
i wskazuja bledy doprowadzi do tego, ze dla
swietego spokoju takie informacje beda posylane
poczta polska do gazet i klientow tych firm,
ale wtedy juz wizerunek firmy i finanse
ucierpia bardziej.

brakuje tylko informacji o tym jaka to firma sprzedaje wybrakowane produkty

[quote]Ogolnie jest zasada ze jezeli znasz jakis blad to wysylasz maild do autorów albo do jakiegos systemu BUG-ów, zaden program nie jest bez bledow,[/quote]

Oj są aplikacje bez błędów. Zwłaszcza jeżeli chodzi o PHP gdyż jest to bardzo elastyczny język. Niestety przy dużych projektach pracuje zespół programistów niejednokrotnie różnej klasy. Poza tym są terminy, zmiany itp itd i czasami bywa tak że jakiś drobiazg się przeoczy. Zwłaszcza gdy mamy do czynienia z kilkoma odrębnymi klasami.

Zresztą weźcie sobie skrypt phpbb2 albo jakiś CMS i zobaczcie ile on waży bez grafiki. Następnie przeliczcie sobie ile to tekstu.

Zresztą podstawą jest zasada że wszystkie dane które mogą pochodzić od użytkownika ($_POST, $_GET, $_FILE itp itd etc) należy traktować jako potencjalne zagrożenie. Tylko absolutny amator mógł dopuścić do tego by okienko logowania było podatne na modyfikacje zapytania SQL. Było by dobrze gdyby podano nazwę firmy która wykonuje takie projekty.

A na miejscu naszego bohaterskiego hakera zaskarżył bym tą firmę teraz. A przynajmniej powiadomił ich klientów jaki chłam sprzedają bo mówimy tutaj o możliwości wycieku danych osobowych (w zależności od serwisów).
Już samo to że trik o którym mowa zadziałał sugeruje to że hasła w bazie danych są przechowywane w postaci niezaszyfrowanej co dla mnie osobiście jest karygodnym zaniedbaniem.

[quote]ciaganie po sadach ludzi, ktorzy chca pomoc i wskazuja bledy[/quote]

Szkoda, że nikt nie zwrócił uwagi na prawdziwe motywy tego człowieka.
Kontynuując wątek "dziury w płocie", to co byście powiedzieli o człowieku który by do Was zadzwonił z tekstem:
-Halo w Pana/Pani płocie jest dziura. Udało mi się wejść na Pana/Pani posiadłość. Teoretycznie mógłbym nawet coś z niej wynieść ale będę tak dobry, że za DROBNĄ OPŁATĄ pomogę załatać dziurę.

Mnie to śmierdzi szantażem.

Zapomniałem wyjąć klucz z zamka drzwi a tu mi sąsiad dzwoni, że przekręcił klucz w zamku (ciąg znaków: ' or 1=1;--), nacisnął klamkę, otworzył drzwi i przeglądnął w domu wszystkie szafy Oznajmił mi, że za odpowiednią opłatą może zamykać mi drzwi od domu aby nie włazić tam ze swoimi brudnymi buciorami. Rozumiem, że gdyby jakiś linek ze strony zapisał ten ciąg znaków to OK. Tutaj wyraźnie okazja stworzyła złodzieja.

Raczej zaproponował że za opłatą zrobi Ci systemie pilnujący czy nie zostawiłeś klucza. A ta sytuacja to raczej: Zadzwoniłem ze pan zostawił klucz i sprawdziłem że faktycznie da się wejść, a koleś to olał i stwierdził ze przymkniecie wystarcza...

@danan
Groźby nie było, raczej uczciwa propozycja. Nie mam pojęcia dlaczego niby odkrywca dziury miałby ją łatać charytatywnie. Przecież mogli ją sami również załatać jak już się dowiedzieli...