HOST1PLUS BUG'as

Sveiki,

šiandieną, prieš kokias 30min radau neblogą bugą. Į serverį galima patekti su "dalimi" slaptažodžio. O tai yra labai didelė spraga.

Tikslų aprašymą kolkas nepateiksiu kol nėra susisiekta su supportu ar kitais atsakingais asmenimis.

Jo gerą bug'ą radai :D gera kalėdų dovanėlė bus jiems

Sveikas, nesupratau temos esmės, tave pagirti dabar reikia ar kaip?

Prieš gerus metus pats buvau radęs spragą duomenucentras.lt sistemoje:

pvz.: jei tu esi duomenucentras.lt registruotas el. pastu: [email protected], tai be problemų buvo galima padaryti slaptažodžio priminimą su [email protected] ir taip prisijungti prie kito žmogaus paskyros.

Tačiau absoliučiai niekas apie tai nežinojo, pats geranoriškai parašiau į duomenucentras.lt ir viską pranešiau už tai gavau nemokamai 6men. hostingą.

man irgi keista, bulvinio medalio nori, sukurdamas sia tema.

Čia daugiau skirta, kad žmonės negirtų per daug paslaugų.

Visi rėkauja kokie host1plus yra geri, tema sukurta kad šiek tiek paieška pasinaudoja pamatytu.

Visiem visko pasitaiko, o tau kad tik ikasti "konkurentam".

Visiem visko pasitaiko, o tau kad tik ikasti "konkurentam".

Na suktis tai visiem ir visaip reikia :)

Tiesiog galima vieni kitiems padeti, o ne tycia stumti ir "" pranesti, kad tik kitiem zmonem butu geriau ir jie zinotu. Taciau jaigu jo hostui kas atsitiks ir su juo taip pat pasielgs, jam paciam bus nemalonu.

Jeigu passwordas 123456 ir prisijungti eina su 12 ?

Camas jau bando nulauzti ir po to visu hostu index.php pakeisti i " Hack4d by Camas "

Visiem visko pasitaiko, o tau kad tik ikasti "konkurentam".

Neužsiimu as VPS nuoma - taip kad "kokurentai" tikrai ne jie.

Negaliu skelbti prieš laiką informacijos, galiu tik tiek pasakyti kad nubruteforsinti root slaptažodį lengva. O tie kas naudojasi vps paslaugomis, turi žinoti kad nėra saugūs. Supportas deja offline, negaliu susisiekti.

Jei paskelbsiu klaidą - gali atsirasti žmonių bandančių tai pasinaudoti. Nemanau kad kas nors norėtų jog jo serverį "nulaužtų". Jei norit pastumpti - eikit kur kitur.

Jeigu passwordas 123456 ir prisijungti eina su 12 ?

Iš dalies taip. Kaip jau minėjau parašysiu čia kokia klaida kaip bus susisiekta su supportu ir kitais asmenimis atsakingais už VPS

Neužsiimu as VPS nuoma - taip kad "kokurentai" tikrai ne jie.

 

Negaliu skelbti prieš laiką informacijos, galiu tik tiek pasakyti kad nubruteforsinti root slaptažodį lengva. O tie kas naudojasi vps paslaugomis, turi žinoti kad nėra saugūs. Supportas deja offline, negaliu susisiekti.

 

Jei paskelbsiu klaidą - gali atsirasti žmonių bandančių tai pasinaudoti. Nemanau kad kas nors norėtų jog jo serverį "nulaužtų". Jei norit pastumpti - eikit kur kitur.

 

 

 

Iš dalies taip. Kaip jau minėjau parašysiu čia kokia klaida kaip bus susisiekta su supportu ir kitais asmenimis atsakingais už VPS

Problema buvo autentikacijos algoritmų parinkime, nebuvo naudojami tinkami algoritmai slaptažodžio kodavimui. Todėl buvo koduojami tik pirmi 8 slaptažodžio simboliai. Pritaikius reikiamus algoritmus, problemos nėra. Tad čia labiau konfigūracijos klaida, nei specifinių sisteminių paketų. Bet žinoma tiekėjams apie tai pranešti reikėtų.

Problema buvo autentikacijos algoritmų parinkime, nebuvo naudojami tinkami algoritmai slaptažodžio kodavimui. Todėl buvo koduojami tik pirmi 8 slaptažodžio simboliai. Pritaikius reikiamus algoritmus, problemos nėra. Tad čia labiau konfigūracijos klaida, nei specifinių sisteminių paketų. Bet žinoma tiekėjams apie tai pranešti reikėtų.

Dėkui už netingėjima per šventes spręsti problemų kurios nepriklauso:)

Čia daugiau skirta, kad žmonės negirtų per daug paslaugų.

 

Visi rėkauja kokie host1plus yra geri, tema sukurta kad šiek tiek paieška pasinaudoja pamatytu.

Eilinį kartą norėjai įkasti lietuviško hostingo paslaugų tiekėjams. Jau per pirmas tavo kandus postas hostingų tema, tad nereikia apsimesti šventuoliu...

Sveiki,

 

šiandieną, prieš kokias 30min radau neblogą bugą. Į serverį galima patekti su "dalimi" slaptažodžio. O tai yra labai didelė spraga.

 

Tikslų aprašymą kolkas nepateiksiu kol nėra susisiekta su supportu ar kitais atsakingais asmenimis.

Tokiais atvėjais :

1. Pranešk tiekėjui, programinės įrangos kūrėjui.

2. Po ištaisytų klaidų publikuok kur tik nori.

Prisimenu prieš porą metų buvome radę 0day pažeidžiamumą su webalizer, DirectAdmin valdymo sistemoje. Pirma pabandėme jį pas save, vėliau ant serveriai.lt, pavyko gauti visus duomenis, realiai root priėjimą. Per 24 valandas pranešėme DirecAdmin kūrėjams apie pažeidžiamumą ir kai jis buvo sutvarkytas - paskelbėme temą.

Tokiais atvėjais :

 

1. Pranešk tiekėjui, programinės įrangos kūrėjui.

2. Po ištaisytų klaidų publikuok kur tik nori.

 

Prisimenu prieš porą metų buvome radę 0day pažeidžiamumą su webalizer, DirectAdmin valdymo sistemoje. Pirma pabandėme jį pas save, vėliau ant serveriai.lt, pavyko gauti visus duomenis, realiai root priėjimą. Per 24 valandas pranešėme DirecAdmin kūrėjams apie pažeidžiamumą ir kai jis buvo sutvarkytas - paskelbėme temą.

Vieni daro taip, kiti taip:) Deja supporto nėra online vis dar. O laišką rašyti, tai paskui bobutės paskaitys ir nesupras.

insaider: host1plus nėra lietuviškas hostingas, jo įkūrėjai yra ne lietuviai, taip kad sakyti lietuviškas hostingas - yra klaidinga.

Host1plus pjauna grybą nesveika, suportas apgailėtinas , sako kad padarys, bet nepadaro. Neturiu apie juos net ką pasakyti...

Vieni daro taip, kiti taip:) Deja supporto nėra online vis dar. O laišką rašyti, tai paskui bobutės paskaitys ir nesupras.

 

insaider: host1plus nėra lietuviškas hostingas, jo įkūrėjai yra ne lietuviai, taip kad sakyti lietuviškas hostingas - yra klaidinga.

Koks skirtumas jis lietuviškas ar ne? Mano išsakytos nuomonės esmės nekeičia...

Host1plus pjauna grybą nesveika, suportas apgailėtinas , sako kad padarys, bet nepadaro. Neturiu apie juos net ką pasakyti...

O aš iš savo asmeninės patirties kaip tik galiu tik pagirti supportą. Kiek bendravau, tai kažkokių nusivylimų niekad nekilo. :)

Vieni daro taip, kiti taip:) Deja supporto nėra online vis dar. O laišką rašyti, tai paskui bobutės paskaitys ir nesupras.

 

insaider: host1plus nėra lietuviškas hostingas, jo įkūrėjai yra ne lietuviai, taip kad sakyti lietuviškas hostingas - yra klaidinga.

Visa tavo tema yra kvaila :(

Visa tavo tema yra kvaila :(

Na reiškias nesilankyk ir neskaityk.

biski nesupratau ko jus cia nepatenkinti? kad paskelbe BUG'a? tai labai gerai kad paskelbe, nepasake tiksliai kaip jis veikia gi.

kuo daugiau vartotojai zino tuo geriau (gal kazkas suspes kritine info apsisaugoti, kol support miega), o sutvarkyt yra SUPPORT reikalas, kuo greiciau sutvarkys tuo jam geresnis ivaizdis.

paprastai buna tokia praktika, net pas profesionalus saugumo ekspertus: atrandamas bugas, parasoma tiekejui, jei nesureaguoja, parasoma viesai apie ta buga ir kaip ji panaudoti :) tada tiekejas labai labai greit susitvarko...

biski nesupratau ko jus cia nepatenkinti? kad paskelbe BUG'a? tai labai gerai kad paskelbe, nepasake tiksliai kaip jis veikia gi.

 

kuo daugiau vartotojai zino tuo geriau (gal kazkas suspes kritine info apsisaugoti, kol support miega), o sutvarkyt yra SUPPORT reikalas, kuo greiciau sutvarkys tuo jam geresnis ivaizdis.

 

paprastai buna tokia praktika, net pas profesionalus saugumo ekspertus: atrandamas bugas, parasoma tiekejui, jei nesureaguoja, parasoma viesai apie ta buga ir kaip ji panaudoti :) tada tiekejas labai labai greit susitvarko...

Būtent, galiu dabar dar patvirtinti kad bugas nėra išspręstas nors supportas apie tai žino.

Miega programeriai. Na negerai negerai...

Jau šnekėjau dar kartelį nesenai su supportu, lyg ir rimtai pradėjo žiūrėti