Jusu Svetaines saugumas

Sveiki, pakalbekim apie tai, kaip jus rupinates savo svietaines saugumu ?

Noriu atkreipti Jusu demesi i tai kad Lietuvoje ira, ir kasdien kuriama desimtis , net simtai svetainiu su programavimo klaidom kurias nulauzti gali net vaikai.

Is mano asmenines patirties, labiausei buna pazeidziamos svetaines - vizitines korteles vidutio verslo, daznai buna neatnaujinamos net po 10 metu.

Tema sukuriau nes manau ji labai aktuali , siandiena , laisvalaikiu as gavau priejima prie 9 tinklapiu per 6 valandas! Dabar naktis , bet ryte visiems tinklapiu savininkams bus pranesta apie ju tinklapiu pazeidziamumuma.

Ir patikekit , daugelis sakis "aj, kam cia rupi" - as jau nebe aiskinu jiems kad tai ju verslo vizitine kortele , tai veidas ir ne manau kag gerai atsilieptu verslui jaigu jo veidas butu papuostas uzrasais HACKED BY... arba dar blogiau ....

Taigi, kaip jus rupinates saugumu ir ka daritumet jaigu sulauktumet pranesimo is manes ar ko kito kad jusu tinklapis pazeidziamas ? ;)

Iš asmeninės patirties galiu pasakyt tik tiek, kad didesni tinklapiai dažniausiai reaguoja labai tinkamai, t.y. labai operatyviai padėkoja, informuoja po klaidos ištaisymo (jei iškart neištaiso), taip pat kartais pasiūlo atlygį (jei rimtesnis pažeidžiamumas), matyt iš užsienio pradėjo ateit mada, nes užsieny bug hounties paskutiniu metu ant bangos, didelės kompanijos siūlo bug hounties, kad tik ieškotų žmonės bugų. Kartais aišku būna, kad atsakymo taip ir neatsiunčia jokio, tačiau klaidą ištaiso, tai tikslas pasiektas:)) Beje, didesnių tinklapių atveju lygiai tas pats vyksta ir su kritiniais pažeidžiamumais, ir su paprastom klaidelėm kur nors tinklapy bet kokiom.

Mažesni tinklapiai tai atskiras pasaulis, aišku būna tokių, kurie neatrašo, arba padėkoja ir tiek (beje, mažesni tinklapiai gana dažnai padėkoja, bet numoja ranka ir po mėnesio patikrinęs rasi tą patį pažeidžiamumą :D ), bet būna ir tokių, kurie pradeda grasint policija ir panašiai, yra buvę, kad prašė pinigų už tai, kad manęs neperduotų policijai, nes aš gi toks nedorėlis :D Tai aišku niekas iš asmeninio pašto stiprių pažeidžiamumų todėl ir nepranešinėja, tenka apsiribot throwaway paštu ir VPN'u, nes maža kas gali šaut į galvą kam nors :D

Beje, yra buvę keletas atvejų, kai matyt žmonės užsisakė kažkur tinklapį, jiems sukūrė, ir suteikė nulį supporto, tai matyt neturi ko pasiklaust, ar panašiai, bet nurodžius tikslų pažeidžiamumą jų nusiteikimas buvo toks, kad maždaug va čia prašysiu pinigų, apgaut bandysiu, ir "ko tu čia nori iš mūsų išvis, kam tu čia lendi prie to mūsų tinklapio". Būna juokinga tada, bet kai pagalvoji, kad gal aš jau toks ne pirmas, ir gal jau keli bandė pranešt, ir velnias žino kiek žmonių jau pasiėmė tą jų duombazę, tai kažkada susimąstęs buvau - o jeigu jų duombazę nusiųstum jiems patiems, ar jie vis tiek netikėtų :D

TL;DR - reakcijos būna labai įvairios, bet didesni tinklapiai žymiai labiau gerbia savo saugumą.

O dėl defeisinimo, tai dar kažkas tai daro paprastoms svetainėms? Normalūs hakeriai, jaučiu, nelabai. Defeisinama labiau tuo atveju, jei kažkas kažką prisidirbęs, ir reik pranešt apie save. Bet šiaip tai labiau priimtina visiem tyliai pasiimt duombazę ir tiek, na, arba pranešt privačiai savininkams apie klaidą, kam tas papildomas triukšmas :?

Šiaip jei su dork'ais ieškojai pažeidžiamų webų, tai 9 per 6 valandas - labai mažai :D bet toks beprasmiškas su dork'ais ieškojimas, nes visada bus pažeidžiamų webų žiauriai daug, visų neperspėsi, geriau apsiribot tais, kuriais naudojies arba kur šiaip už akies užkliūva

Iš asmeninės patirties galiu pasakyt tik tiek, kad didesni tinklapiai dažniausiai reaguoja labai tinkamai, t.y. labai operatyviai padėkoja, informuoja po klaidos ištaisymo (jei iškart neištaiso), taip pat kartais pasiūlo atlygį (jei rimtesnis pažeidžiamumas), matyt iš užsienio pradėjo ateit mada, nes užsieny bug hounties paskutiniu metu ant bangos, didelės kompanijos siūlo bug hounties, kad tik ieškotų žmonės bugų. Kartais aišku būna, kad atsakymo taip ir neatsiunčia jokio, tačiau klaidą ištaiso, tai tikslas pasiektas:)) Beje, didesnių tinklapių atveju lygiai tas pats vyksta ir su kritiniais pažeidžiamumais, ir su paprastom klaidelėm kur nors tinklapy bet kokiom.

Mažesni tinklapiai tai atskiras pasaulis, aišku būna tokių, kurie neatrašo, arba padėkoja ir tiek (beje, mažesni tinklapiai gana dažnai padėkoja, bet numoja ranka ir po mėnesio patikrinęs rasi tą patį pažeidžiamumą :D ), bet būna ir tokių, kurie pradeda grasint policija ir panašiai, yra buvę, kad prašė pinigų už tai, kad manęs neperduotų policijai, nes aš gi toks nedorėlis :D Tai aišku niekas iš asmeninio pašto stiprių pažeidžiamumų todėl ir nepranešinėja, tenka apsiribot throwaway paštu ir VPN'u, nes maža kas gali šaut į galvą kam nors :D

Beje, yra buvę keletas atvejų, kai matyt žmonės užsisakė kažkur tinklapį, jiems sukūrė, ir suteikė nulį supporto, tai matyt neturi ko pasiklaust, ar panašiai, bet nurodžius tikslų pažeidžiamumą jų nusiteikimas buvo toks, kad maždaug va čia prašysiu pinigų, apgaut bandysiu, ir "ko tu čia nori iš mūsų išvis, kam tu čia lendi prie to mūsų tinklapio". Būna juokinga tada, bet kai pagalvoji, kad gal aš jau toks ne pirmas, ir gal jau keli bandė pranešt, ir velnias žino kiek žmonių jau pasiėmė tą jų duombazę, tai kažkada susimąstęs buvau - o jeigu jų duombazę nusiųstum jiems patiems, ar jie vis tiek netikėtų :D

TL;DR - reakcijos būna labai įvairios, bet didesni tinklapiai žymiai labiau gerbia savo saugumą.

 

O dėl defeisinimo, tai dar kažkas tai daro paprastoms svetainėms? Normalūs hakeriai, jaučiu, nelabai. Defeisinama labiau tuo atveju, jei kažkas kažką prisidirbęs, ir reik pranešt apie save. Bet šiaip tai labiau priimtina visiem tyliai pasiimt duombazę ir tiek, na, arba pranešt privačiai savininkams apie klaidą, kam tas papildomas triukšmas :?

 

Šiaip jei su dork'ais ieškojai pažeidžiamų webų, tai 9 per 6 valandas - labai mažai :D bet toks beprasmiškas su dork'ais ieškojimas, nes visada bus pažeidžiamų webų žiauriai daug, visų neperspėsi, geriau apsiribot tais, kuriais naudojies arba kur šiaip už akies užkliūva

Su ta policija tai prajuokinai :) man ir taip ira buve kad grasino ir pinigu prase :)

ne ... kokie dorkai , taigi ne 2000 metai :) , as rankitem , jokiu dorku, jokio sCOOL HACKING softo (KALI LINUX) i pagalba ir ne tik duombazes , labai keista bet dar ira nemazai PHP 4.x tinklapiu ir css lenda kaip per sviesta.

Jo didesni portalai aiskus prisiziuri , ir pastebejau kad CMS naudotojai prisiziuri ir daro UPDATE.

Kam aktualu? na man tiesiog ziniu pasirinkt ir tiek , ir sakikim vizitine nieko ne duoda , bet KATIK ipuciau CSS i LT sporto prekiu parduotuve , o jug ten statusa uzsakimo pakeitei ir kokia nrs panele kuri administroja paims ir issius tau preke galvodama kad ji apmoketa, as jau ne kalbu apie tai kad galima savo duomenis i apmokejimo rekvizitus idiet... ir tai parduotuve , ir joje perka ir i ja lenda CSS (Cross Site Scripting)

Manau didelia dalimi nesirūpinimą saugumu kelia ne tų e-shopų savininkai, o jų vartotojai. Jei vartotojams rūpėtų jų saugumas, rūpėtų ir paslaugų teikėjams. Nes kuo jie rizikuoja? Kad pavogs jų vartotojų e-mailus ar dar ten ką? Ar kad nurašys kokią prekę ar mokėjimus darys į kitą sąsk. Tai jei shopas priprekiauja 200eur/d. ir dieną/dvi tos lėšos bus vagiamos (vėliau gi pastebės), tai rizika maža. Panašiai kainuotų ir saugumo pagerinimas :) Tai bėda, kad vartotojam nedaro įspūdžio jų visokie SSL ir kt. saugumai. Aš, pvz., visad stengiuosi naudoti technologijas su kuo įmanoma daugiau apsaugų, nors, jei atvirai, tai irgi kartais per daug nesiparinu smulkiam projektui - apsaugau tiek, kiek jis vertingas. T.y. pinigine išraiška. O privatūs duomenys mum gi nelabai svarbūs, no suovieto mus visus akylai stebi, tai, manau, daugeliui diskomforto nesukelia. Nors laikas, aišku, tai pakeis.

Sveiki, pakalbekim apie tai, kaip jus rupinates savo svietaines saugumu ?

 

Noriu atkreipti Jusu demesi i tai kad Lietuvoje ira, ir kasdien kuriama desimtis , net simtai svetainiu su programavimo klaidom kurias nulauzti gali net vaikai.

Is mano asmenines patirties, labiausei buna pazeidziamos svetaines - vizitines korteles vidutio verslo, daznai buna neatnaujinamos net po 10 metu.

 

Tema sukuriau nes manau ji labai aktuali , siandiena , laisvalaikiu as gavau priejima prie 9 tinklapiu per 6 valandas! Dabar naktis , bet ryte visiems tinklapiu savininkams bus pranesta apie ju tinklapiu pazeidziamumuma.

 

Ir patikekit , daugelis sakis "aj, kam cia rupi" - as jau nebe aiskinu jiems kad tai ju verslo vizitine kortele , tai veidas ir ne manau kag gerai atsilieptu verslui jaigu jo veidas butu papuostas uzrasais HACKED BY... arba dar blogiau ....

 

Taigi, kaip jus rupinates saugumu ir ka daritumet jaigu sulauktumet pranesimo is manes ar ko kito kad jusu tinklapis pazeidziamas ? ;)

Gali patikrinti sauguma?

https://btcmarkets.lt/index.html

https://decicoin.com/

Gali patikrinti sauguma?

 

https://btcmarkets.lt/index.html

 

https://decicoin.com/

 

Pirmadienio-antradienio nakti perziuresiu

Su ta policija tai prajuokinai :) man ir taip ira buve kad grasino ir pinigu prase :)

ne ... kokie dorkai , taigi ne 2000 metai :) , as rankitem , jokiu dorku, jokio sCOOL HACKING softo (KALI LINUX) i pagalba ir ne tik duombazes , labai keista bet dar ira nemazai PHP 4.x tinklapiu ir css lenda kaip per sviesta.

Jo didesni portalai aiskus prisiziuri , ir pastebejau kad CMS naudotojai prisiziuri ir daro UPDATE.

Kam aktualu? na man tiesiog ziniu pasirinkt ir tiek , ir sakikim vizitine nieko ne duoda , bet KATIK ipuciau CSS i LT sporto prekiu parduotuve , o jug ten statusa uzsakimo pakeitei ir kokia nrs panele kuri administroja paims ir issius tau preke galvodama kad ji apmoketa, as jau ne kalbu apie tai kad galima savo duomenis i apmokejimo rekvizitus idiet... ir tai parduotuve , ir joje perka ir i ja lenda CSS (Cross Site Scripting)

Prie ko dork'ai ir 2000 metai :) :) :) Tiesiog galvojau jei į random tinklapius įsilaužinėji, tai dork'ini, nes kitaip sunkus atvejis per 6 valandas 9 tinklapiuose normaliuose skylių rast :D

TVS naudotojai dažniausiai daro updeitus todėl, kad TVS'ai admin panelėse rėkia ir prašo padaryt tuos updeitus, ne todėl, kad jiems rūpi saugumas :D

Šiaip nežinau kur tu tiek daug persistent XSS'ų randi, realiai SQLi žymiai daugiau yra, persistent XSS žymiai retesnis radinys :D o nonpersistent XSS sucks, per daug veiklos

O eshopan įsilaužus tai nemanau, kad kas nors žaidžia su tokiais dalykais kaip tu parašei, labai jau neprotinga ir nepelninga būtų, ne pats geriausias planas :D :D

ir plyz nevadink cross site scriptingo css, labai dviprasmiška :D

Manau didelia dalimi nesirūpinimą saugumu kelia ne tų e-shopų savininkai, o jų vartotojai. Jei vartotojams rūpėtų jų saugumas, rūpėtų ir paslaugų teikėjams. Nes kuo jie rizikuoja? Kad pavogs jų vartotojų e-mailus ar dar ten ką? Ar kad nurašys kokią prekę ar mokėjimus darys į kitą sąsk. Tai jei shopas priprekiauja 200eur/d. ir dieną/dvi tos lėšos bus vagiamos (vėliau gi pastebės), tai rizika maža. Panašiai kainuotų ir saugumo pagerinimas :) Tai bėda, kad vartotojam nedaro įspūdžio jų visokie SSL ir kt. saugumai. Aš, pvz., visad stengiuosi naudoti technologijas su kuo įmanoma daugiau apsaugų, nors, jei atvirai, tai irgi kartais per daug nesiparinu smulkiam projektui - apsaugau tiek, kiek jis vertingas. T.y. pinigine išraiška. O privatūs duomenys mum gi nelabai svarbūs, no suovieto mus visus akylai stebi, tai, manau, daugeliui diskomforto nesukelia. Nors laikas, aišku, tai pakeis.

Vartotojai tuos pačius slaptažodžius naudoja milijone akauntų, įskaitant ir el. paštą, o tinklapių savininkai dar praeitam amžiuj gyvena ir md5 hashina passwordus, ir gaunasi, kad vieną duombazę pavogus pavagiama žiauriai daug duomenų, nes el. pašte tas pats slaptažodis. Tai mažiausia, ką gali webdev'as padaryt, yra nenaudot md5, nu arba bent jau salt'int, čia jau būtų puiki pradžia, nes dabar graudi situacija su vartotojų duomenim yra

Vartotojai tuos pačius slaptažodžius naudoja milijone akauntų, įskaitant ir el. paštą, o tinklapių savininkai dar praeitam amžiuj gyvena ir md5 hashina passwordus, ir gaunasi, kad vieną duombazę pavogus pavagiama žiauriai daug duomenų, nes el. pašte tas pats slaptažodis. Tai mažiausia, ką gali webdev'as padaryt, yra nenaudot md5, nu arba bent jau salt'int, čia jau būtų puiki pradžia, nes dabar graudi situacija su vartotojų duomenim yra

PIlnai tikiu, tik dar nepaminėjau, kodėl Lt taip nelinkę saugotis, tai, matyt ir dėl scam'ų nebijojimo. Vakauruose jau senų seniausiai knisasi žmonių šiukšlėse ir ieško visokių ID ir pan. O pas mus arba "duok paskambint" arba "Jūsų sūnus į avariją pateko". Kokioj UK ar kitur e-shopas be galimybės apmokėt už prekę per dvi sav. nuo jos pristatymo jau ne e-shopas. Kas iš tos duomenų bazės pas mus jei nieko su ja nenuveiksi? Aš vos ne kasdien naudoju gal 20 skirtingų slaptažodžių, bet kai pagalvoju, kaži ko vertingo pavogt ten nėra. Žodžiu, manau, mūsų nusikaltėliai hakeriai vargingai Lt gyvena :D Va, ir siūlosi mum saugumą gerint :D

PIlnai tikiu, tik dar nepaminėjau, kodėl Lt taip nelinkę saugotis, tai, matyt ir dėl scam'ų nebijojimo. Vakauruose jau senų seniausiai knisasi žmonių šiukšlėse ir ieško visokių ID ir pan. O pas mus arba "duok paskambint" arba "Jūsų sūnus į avariją pateko". Kokioj UK ar kitur e-shopas be galimybės apmokėt už prekę per dvi sav. nuo jos pristatymo jau ne e-shopas. Kas iš tos duomenų bazės pas mus jei nieko su ja nenuveiksi? Aš vos ne kasdien naudoju gal 20 skirtingų slaptažodžių, bet kai pagalvoju, kaži ko vertingo pavogt ten nėra. Žodžiu, manau, mūsų nusikaltėliai hakeriai vargingai Lt gyvena :D Va, ir siūlosi mum saugumą gerint :D

Duombazės dažniausiai vagiamos ne tam, kad pavogt kažką vertingo, o tam, kad turėt krūvą vartotojų duomenų. Kai turi X ar net XX gb duombazių, įvedęs email'ą ir paieškojęs dažniausiai rasi gana nemažai info apie konkretų žmogų. Prisikasus prie vartotojo vardo ir pavardės, galima pasiieškot tada kitose duombazėse pagal tai, ir atrast adresą, tel. numerį, ir panašiai. Taip pat panaršius po įvairius akauntus bei privačias žinutes dažnai dar daugiau info randama, ir iš esmės tada žinai labai daug apie konkretų žmogų :) O tada jau pagal tai, ką jis prisidirbo, svarstai, ką veikt su tais duomenim :D Dar juokingiau, jei turi 15 skirtingų passwordų, bet visus saugoja naršyklėj, ir kokiuose stealerio loguose randi ten 15 passwordų iš eilės surašytų :D

O pasipelnyt galima kitais kanalais, nes tikrai duomenų bazėse naršydamas daug labai nepasipelnysi. Na, nebent neaišku kokių sistemų duomenų bazes ten turi :)))

Beje, jei @FairPlayer whitehat'as, ir visas skyles praneša savininkams, tai tikrai nusikaltėliu nepavadinsi, nieko nelegalaus nedaro :D Oh wait, nebent jis ne tik randa skyles, bet ir įsilaužia, tada jo. Nežinau, kaip ten yra.

Dėl sūnus į avariją pateko, tai tiesiog Lietuvoj apie tokias nesąmones tekalba, bet nutinka ir žymiai įdomesnių atvejų :D

O žmonės, kurie normaliai gaudosi saugume, tikrai vargingai negyvena :) Na aišku jei moki surast sqli ir xss skyles, ir šiaip tokias žinias turi kur per mėnesį gali kokiam forume sutraukt, tada gal ir gyvensi vargingai :D

Vizitinės kortelės kuriamos naudojant HTML. Įdomu, kaip juos įmanoma nulaužti jei nėra nei duombazės nei tvs :unsure:

Vizitinės kortelės kuriamos naudojant HTML. Įdomu, kaip juos įmanoma nulaužti jei nėra nei duombazės nei tvs :unsure:

Neseniai The Hacker News buvo straipsnis apie tai, kad atrastas būdas, jau išsiuntus emailą, pakeisti jo turinį ir įkelti žalingą nuorodą. T.y. viską gali padaryti post factum dėka HTML ir CSS kodo. :)

Neseniai The Hacker News buvo straipsnis apie tai, kad atrastas būdas, jau išsiuntus emailą, pakeisti jo turinį ir įkelti žalingą nuorodą. T.y. viską gali padaryti post factum dėka HTML ir CSS kodo. :)

Geras :)

Duombazės dažniausiai vagiamos ne tam, kad pavogt kažką vertingo, o tam, kad turėt krūvą vartotojų duomenų. Kai turi X ar net XX gb duombazių, įvedęs email'ą ir paieškojęs dažniausiai rasi gana nemažai info apie konkretų žmogų. Prisikasus prie vartotojo vardo ir pavardės, galima pasiieškot tada kitose duombazėse pagal tai, ir atrast adresą, tel. numerį, ir panašiai. Taip pat panaršius po įvairius akauntus bei privačias žinutes dažnai dar daugiau info randama, ir iš esmės tada žinai labai daug apie konkretų žmogų :) O tada jau pagal tai, ką jis prisidirbo, svarstai, ką veikt su tais duomenim :D Dar juokingiau, jei turi 15 skirtingų passwordų, bet visus saugoja naršyklėj, ir kokiuose stealerio loguose randi ten 15 passwordų iš eilės surašytų :D

O pasipelnyt galima kitais kanalais, nes tikrai duomenų bazėse naršydamas daug labai nepasipelnysi. Na, nebent neaišku kokių sistemų duomenų bazes ten turi :)))

Beje, jei @FairPlayer whitehat'as, ir visas skyles praneša savininkams, tai tikrai nusikaltėliu nepavadinsi, nieko nelegalaus nedaro :D Oh wait, nebent jis ne tik randa skyles, bet ir įsilaužia, tada jo. Nežinau, kaip ten yra.

Dėl sūnus į avariją pateko, tai tiesiog Lietuvoj apie tokias nesąmones tekalba, bet nutinka ir žymiai įdomesnių atvejų :D

O žmonės, kurie normaliai gaudosi saugume, tikrai vargingai negyvena :) Na aišku jei moki surast sqli ir xss skyles, ir šiaip tokias žinias turi kur per mėnesį gali kokiam forume sutraukt, tada gal ir gyvensi vargingai :D

Aš tik po kelių val. susimąsčiau, kad galėjau neteisingai įžeist žmogų. Blogai tekstas susidėliojo, tai vos ne tiesioginis kaltinimas gavosi.

O šiaip jo, sutinku. Tik norėjau pasakyt, kad vargo daug, o pelno tai nžn kiek ten yra. Ta prasme, scam'inti...

..

..

-