Astazi am primit de la un coleg un link la pagina Universitatea Tehnica Cluj – Napoca unde minune mare (sau nu) se pare ca cineva a facut cateva injectii SQL hehehe.
UT Cluj hacked!
Leave a comment
Membru
Sustin
Astazi am primit de la un coleg un link la pagina Universitatea Tehnica Cluj – Napoca unde minune mare (sau nu) se pare ca cineva a facut cateva injectii SQL hehehe.
ase-i fain …. sa stie candidatii in ce intra
Am scotocit pe net si am aflat totusi ca nu ii un sql injection ci un cross site scripting..un derbedeu care o gasit un input nesecurizat si se crede mare haker..oricum adevaru ii ca noi nu avem hakeri, doar presa care exagereaza ne da impresia asta , numa niste baieti care se viseaza tari si mari
nu a zis nimeni ca e mare haker, dar l-a gasit!
asta-i, “apai si eu puteam face”, but guess what you didn’t!!
deci…
-1 nu se merita
-2 sa fi haker insemna mult mai mult decit sa folosesti un mic script care l-ai gasit pe undeva pe net ca sa te dai mare si tare..cu asta nu ai demonstrat nimic
-3 exista multi baieti care pot dar nu o fac tocmai din respect pentru munca altora
-4 chestia ii ca nu se iau masuri si ce crezi ca se intimpla..pai iti zic eu ce se intimpla se gaseste unu se gasesc doi si nimeni nu ia nici-o masura …siiii?? ai putea zice ..pai se intimpla asa: mariile site-uri isi inchid “portile” pentru toate ip-urile de rominia de exmplu cum s-o intimplat cu veoh ..si multe altele
-si 5 o incalcat regula “Niciodata sa nu le-o tragi la cei mici”
numa respect
chiar din respect pt munca altora ….. e putin cam extrem, cred
super tare faza cu veoh
oricum, tot timpul vor fi mici portitite …. gen acum pt veoh, te poti conecta printr-un server proxy …. si la modul cel mai simplu, si lipsit de muca …. http://privax.us/
nu-i deloc hacking …. dar mai mult ca sigur presa sau oricare altul ar zice ca cine stie ce super “hack” a facut pt a ajunge pe siteul ala ….. cum zase andrei
practic singurul mod prin care poti hackui un server ar fi sa te folosesti de slabiciunile platformei pe care lucreaza …. ie, suna otar cam cretin ce am scris aci
eniuei … alta metoda ar fi sa ai mai multe conturi pe el …. sa-i monitorizezi toate posturile si sa intuiesti modul de lucru …. da’ si atunci …. ar fi numa o parte a sistemului, nu ai sti practic nimic concret despre el … si daca ala care l-o facut are putin simt al umorului … baga si niste chestii ca sa te induca in eroare, si nu lasa datele brute …. cum e porcaria aia de la yahoo
if that was hacking ….. I have ….hacked siteul de la **** (o televiziune) …. pt un concurs …. si i-am bagat multe voturi unui ratat ….. am chiert …. pt ca desi batalia parea sa fie castigata, aveam ditamai avantajul, da’ nu extrem pt ca n-am vrut sa exagerez …. dupa 2 ore de inactivitate …. fraierul de altauri a facut in 10 minute …. cat nu a facut intr-o zi ….
cum am reusit …. majoritatea siteurilor …. nu iau decat ipul …. si eventual adauga un cookie si poti da view source code si sa vezi ce trimit mai departe …. ei bine …. there is a way! ….. mai ales daca ai ip dinamic …. exista un executabil fain in windows rasdial pt a te conecta si deconecta(cu parametrii – si restu e in mana providerului de net)
)))
cookieurile nu-i chiar asa greu sa le stergi pt ca sti unde se pun …. si ca sa browsuiesti in background pana pe siteul ala te poti folosi de diverse controale existente in visual studio
deci in circumstante norocoase …. poti schimba soarta omenirii …..
ce am reusit eu sa fac cu asta??????
sa demonstrez ca aia mint poporul cu televizorul ….. da ….. i-adevarat ca primeau voturi doar din 4 zone ….. de la acelasi provider de net …. da’ totusi …. nesimtire curata sa adaugi voturi la greu ….
true hacking ar fi fost daca as fi reusit cumva sa le fraieresc sistemul si sa adaug voturi tot de pe acelasi ip ….
true genius din partea lor ar fi fost daca timpul ar fi fost o cheie pt validarea votului, sau macar un capcha ….. da’ nimic cu adevarat imposibil
intrebare? unde mi presa mea?
p.s. utc cluj nu-s prea mici …..
si da …. true genius din partea mea ar fi fost daca as fi facut o pagina care facea pur si simplu un loop si postari din cand in cand cu otar de javascript …. si apelam rasdial din php ….. deci php: functia execute si cURL …. javascript: loop
lae i’m speechless
)
yeah …. that was my prime time
)))
Salut,
Sunt unul din adminii site-ului UT. E o vorba care spune ca “orice nu te omoara te face mai puternic”. Sper ca intamplarea asta sa ne fie invatatura de minte si sa nu mai neglijam aspectele de securitate in asemenea hal. Personal, chiar ma mir cum de nu a fost spart mai de mult timp…site-ul avea in codul PHP erori care ar fi putut fi exploatate de ani buni…
- nu verifica datele de intrare luate din URL-uri
- stoca parole in clar in baza de date (oricum si un MD5 s-ar fi putut sparge prin brute-force in cateva zile/saptamani)
Repet, nu erau erori pe partea care revine sysadmin-ului, ci erori grave de securitate pe partea de programare a site-ului, dar vina noastra e ca nu am auditat suficient site-urile pe care le gazduim.
Oricum, dorim pe aceasta cale sa multumim atacatorului pentru ca a tras acest semnal de alarma, dar va asiguram ca o sa facem tot posibilul pentru ca acesta sa nu scape nepedepsit…chiar si doar din orgoliu personal, pentru ca nu trebuia sa se ia de noi asa cum a facut.
Cristi M.
sysadmin UTCN
ai mare dreptate in ce ai spus, dar fiecare blogger are nevoie de stirea lui
oricum, pana la urma a fost vorba de pagina unei universitati, oricate scuze ar fi, un pic de rautate nu strica