Ugye jogilag necces megpróbálni, mert ha véletlenül beenged, akkor tartok tőle kimerítetted az informatika rendszerbe történő jogosulatlan behatolás kategóriát...
Ha pert lehet nyerni a mikrosütő gyártó ellen, mert nem volt a leírásban, hogy macskát nem lehet szárítani benne,...
akkor itt is logikusnak tűnik, h ha nincsen kiírva az oldalra, hogy csak az xy KFT dolgozói léphetnek be az oldalra a megjelenő formok kitöltésével..., akkor én is megpróbálhatok belépni. Az sincsen kiírva, h nem próbálkozhatok a jelszó visszafejtésével/kitalálásával. Azaz próbálkozhatok. Rengeteg szoftvernél le van írva, hogy a program működésének visszafejtése tilos. Na ott elfogadható, h büntetnek érte.
Persze ott a ráutaló magatartás a jogban, ami miatt olyan döntést hozhatnak amilyet akarnak.
Ez a "macska vs. mikrosütő" témakör az elcseszett amcsi jogrendszerre épülő történet. Ugye a föld, ahol az ügyvédi színjáték az, ami elviszi a pert, mert az esküdteknek játszanak, és precedens értékű törvényalkotó ítéletek vannak. Ezért tilos (mondokvalamit) Illinois állam egyik kisvárosában éjfél után elefántot póráz nélkül sétáltatni.
Itthon nem biztos, hogy megállná a helyét ez az érvelés, bár a fene tudja. Csak tipp. :)
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
Hát ez az:)
Egyszerűen definiálhatatlan szerintem mi számít betörésnek.
Az már más kérdés, hogy az adatokkal való visszaélés egyértelműen nevezhető bűncselekménynek.
Még ha ismered is a jelszót, vagy van jogod használni napi 8 órától 17 óráig, de te 19 órakor használod amikor nincs jogod, akkor is illetéktelen behatolásnak számít. Milyen kérdés az hogy "Hol volt ráírva, hogy nem szabad ellopni?".
A sima jogos használat esetében van egy szerződésed azzal, aki a hozzáférést adja, ami tisztázza a jogokat és kötelességeket.
A magára hagyott kis bejelentkezőablakra bukkanva e széles interneten viszont semmi ilyened nincs.
Idehaza valószínűleg elítélnek, ha visszaélést követsz el, azzal nem vitázom, de a fenti két eset semmiképp sem ugyanaz.
Az az alapértelmezés a törvényben, hogy ahova nincs jogosultságod oda nem léphetsz be, sőt már a kísérlet is bűncselekmény. Szerintem magára hagyott login ablakba bármit beírni betörési kísérlet.
Szerintem a bankkartyaszamok azert nem naluk vannak hanem ok nevezzem ugy hogy csak egy hiperlinkel atmennek a bankhoz es a tenyleges fizetes ott zajlik le. Kepzeljuk el hogy van egy ajtod, termed a bank elott es ott te fogadod az ugyfelet :) Na amikor megmondja hogy valojaban mit is akar vagyis kivalassza akkor te szepen kezenfogva odavezeted az ugyfelablakhoz :)
Masreszrol meg szerintem a phpmyadmin azert van ott mert a szolgatato ahol vetek a tahelyet ezt alapbol adta nekik, es nem tudjak eltuntetni .... SOt meg lehet hogy .htaccess vagy hogy is hivjak lehetoseguk se nincsen hozza ...
Annyira meg azert gondolom nem butak es a jelszo legalabb valami rendes ...
A legjobb a pma-ban hogy a loginon mindjár meg is adja a pontos verziószámot hogy egyből tudd hol keresd a betörési pontokat :D phpMyAdmin vulnerabilities van szép számmal...
Itt nem olyanok vannak... Bár az is igaz, hogy vannak egy páran, akiknek a munkája ilyen jellegű, de őket meg azért fizetik, hogy keressenek fogást az adott alkalmazáson/kiszolgálón...
Pedig csak egy sor a robots.txt-be és el is tűnnének a keresőkből.
Másrészt azért vannak a Google-ban indexelve, mert még meg is vannak linkelve egy publikus lapról.
Mint pl. itt és most. Ezek néhány nap múlva első néhány találat lesznek a Google-ben erre a keresésre.
Ugy nez ki megtettek, mennyi az eselye annak, hogy az a jelszo ami a htpasswd ben van = a root jelszoval ?
En elraktam volna onnan inkabb, ha mar igy kiderult :D
Mostanság még nem is annyira sokat (legalábbis ami(k)ről tudunk). Azt hiszem volt egy időszak amikor hetente kellett frissítenem, meg RC-kkel szívtam itt - ott mert a .htaccess mellett se nagyon tudtam nyugodtan aludni..
Hozzászólások
Ezúton is gratulálok nekik!
Jelszavad is van?
ppoadmin
admin12345
Ez most komoly?
Levél ment nekik?
Kíváncsi vagyok, hogy hányan próbálták meg.. :)
Ugye jogilag necces megpróbálni, mert ha véletlenül beenged, akkor tartok tőle kimerítetted az informatika rendszerbe történő jogosulatlan behatolás kategóriát...
Hol van kiírva, hogy én nem léphetek be az oldalra?
Kért egy felhasználói nevet és jelszót, kipróbáltam pár ezret és egyszer csak beengedett.
és mi a jelszó?
Ha pert lehet nyerni a mikrosütő gyártó ellen, mert nem volt a leírásban, hogy macskát nem lehet szárítani benne,...
akkor itt is logikusnak tűnik, h ha nincsen kiírva az oldalra, hogy csak az xy KFT dolgozói léphetnek be az oldalra a megjelenő formok kitöltésével..., akkor én is megpróbálhatok belépni. Az sincsen kiírva, h nem próbálkozhatok a jelszó visszafejtésével/kitalálásával. Azaz próbálkozhatok. Rengeteg szoftvernél le van írva, hogy a program működésének visszafejtése tilos. Na ott elfogadható, h büntetnek érte.
Persze ott a ráutaló magatartás a jogban, ami miatt olyan döntést hozhatnak amilyet akarnak.
Ez a "macska vs. mikrosütő" témakör az elcseszett amcsi jogrendszerre épülő történet. Ugye a föld, ahol az ügyvédi színjáték az, ami elviszi a pert, mert az esküdteknek játszanak, és precedens értékű törvényalkotó ítéletek vannak. Ezért tilos (mondokvalamit) Illinois állam egyik kisvárosában éjfél után elefántot póráz nélkül sétáltatni.
Itthon nem biztos, hogy megállná a helyét ez az érvelés, bár a fene tudja. Csak tipp. :)
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
"macska vs. mikrosütő per" egyébként urban legend...
"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o
Nyilván azért van lejelszavazva, hogy egy adott kör érhesse el, tehát nem publikus.
Kaptál rá engedélyt?
Jelszó? Azt hittem rejtvény, a helyes megfejtők között meg kisorsolnak valamit ;)
5 éves letöltésre jogosító szerződést a Csillaggal. Tudsz ennél jobbat? :-D
5 year contract for download @ star
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2
Hát ez az:)
Egyszerűen definiálhatatlan szerintem mi számít betörésnek.
Az már más kérdés, hogy az adatokkal való visszaélés egyértelműen nevezhető bűncselekménynek.
A brutal-force mondjuk egyértelműen.
Jelzem, h az én phpmyadmin login oldalam is így néz ki.
Elfelejtettem a jelszavamat.
Lehet egyértelmű a szándék, de a bizonyítás nem egyszerű.
Mielőtt valaki komolyan veszi, nem próbáltam meg belépni.
Még ha ismered is a jelszót, vagy van jogod használni napi 8 órától 17 óráig, de te 19 órakor használod amikor nincs jogod, akkor is illetéktelen behatolásnak számít. Milyen kérdés az hogy "Hol volt ráírva, hogy nem szabad ellopni?".
A sima jogos használat esetében van egy szerződésed azzal, aki a hozzáférést adja, ami tisztázza a jogokat és kötelességeket.
A magára hagyott kis bejelentkezőablakra bukkanva e széles interneten viszont semmi ilyened nincs.
Idehaza valószínűleg elítélnek, ha visszaélést követsz el, azzal nem vitázom, de a fenti két eset semmiképp sem ugyanaz.
... :D
Az az alapértelmezés a törvényben, hogy ahova nincs jogosultságod oda nem léphetsz be, sőt már a kísérlet is bűncselekmény. Szerintem magára hagyott login ablakba bármit beírni betörési kísérlet.
Már meg sem lepődünk igazán :D
Szerintem a bankkartyaszamok azert nem naluk vannak hanem ok nevezzem ugy hogy csak egy hiperlinkel atmennek a bankhoz es a tenyleges fizetes ott zajlik le. Kepzeljuk el hogy van egy ajtod, termed a bank elott es ott te fogadod az ugyfelet :) Na amikor megmondja hogy valojaban mit is akar vagyis kivalassza akkor te szepen kezenfogva odavezeted az ugyfelablakhoz :)
Masreszrol meg szerintem a phpmyadmin azert van ott mert a szolgatato ahol vetek a tahelyet ezt alapbol adta nekik, es nem tudjak eltuntetni .... SOt meg lehet hogy .htaccess vagy hogy is hivjak lehetoseguk se nincsen hozza ...
Annyira meg azert gondolom nem butak es a jelszo legalabb valami rendes ...
Hát ahoz hogy a kis akciójukat elvégezzék ami híressé tette őket, rendelkezniük kellet minden bankkártya adattal!
Dehogy kell.
Nem kell feltetlen asszem.
--
asszem sikeres korabbi tranzakcio azonositoval rebill-elhetnek(akar a korabbitol eltero osszeggel is).
Tyrael
A legjobb a pma-ban hogy a loginon mindjár meg is adja a pontos verziószámot hogy egyből tudd hol keresd a betörési pontokat :D
phpMyAdmin vulnerabilities van szép számmal...
en a README fajlt szoktam nezni, pl: http://ppo.hu/phpmyadmin/README
Tyrael
ami a leginkább borzalmas, az ez:
$Id: README,v 2.19.2.2 2004/10/12 17:33:05 lem9 Exp $
igen friss :-(
Ezután gondolom a rendszer, az apache, vagy a php sem újabb... Szóval nem nagy kaland lehet felnyomni.
--
Discover It - Have a lot of fun!
Mindenki csak mondja, de miért nincs még felnyomva?
Itt nem olyanok vannak... Bár az is igaz, hogy vannak egy páran, akiknek a munkája ilyen jellegű, de őket meg azért fizetik, hogy keressenek fogást az adott alkalmazáson/kiszolgálón...
Nem jelent kihivast. :)
(Amugy honnan tudod, hogy nincs?)
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
bedobtam gugliba a /phpmyadmin/ -t:
http://myadmin.interware.hu/
https://phpmyadmin.morse.hu/
https://vhost.zalaszam.hu/phpmyadmin/
https://myadmin.wapeweb.hu/
http://phpmyadmin.tvn.hu/phpmyadmin2.6.4/index.php
https://mysql.phphost.hu/
meg még vagy egy tucat....
szekuriti.
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2
Pedig csak egy sor a robots.txt-be és el is tűnnének a keresőkből.
Másrészt azért vannak a Google-ban indexelve, mert még meg is vannak linkelve egy publikus lapról.
Mint pl. itt és most. Ezek néhány nap múlva első néhány találat lesznek a Google-ben erre a keresésre.
Legalább egy nyamvadt htpasswd-vel levédenék, meg Fail2Ban reguláris kifejezéssel a próbálkozókat kitiltanák például.
|| "Software is like sex: it's better when it's free." Linus Torvalds || Visit Gorkhaan's Homepage
Ugy nez ki megtettek, mennyi az eselye annak, hogy az a jelszo ami a htpasswd ben van = a root jelszoval ?
En elraktam volna onnan inkabb, ha mar igy kiderult :D
amilyen gyakran talalnak a phpmyadmin-ban mindenfele sebezhetoseget, en nem tennem ki htaccess vedelem nelkul.
Tyrael
Mostanság még nem is annyira sokat (legalábbis ami(k)ről tudunk). Azt hiszem volt egy időszak amikor hetente kellett frissítenem, meg RC-kkel szívtam itt - ott mert a .htaccess mellett se nagyon tudtam nyugodtan aludni..
subs
--
irj egy e-mailt, ha itt barmi hibat talalsz. ^ ^
haha, ők is olvassák a hupot...
vagy csak elolvasták a beérkező 200 emailt a problémáról