GrandiWeb

Muu yhteisön välinen keskustelu.
User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Wed Jan 09, 2008 4:52 pm

Valtzu wrote:Vinkki: Suosittelen, että ensi kerralla teet admin-systeemin oikeasti kekseillä tai sessiolla. Ei semmosia, että tietyllä urlilla pääsee hallinnoimaan sivua ilman tunnuksia :|
Se piti lisätä mut laiskistuin :roll: Mites arvasit oikeen urlin?
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

User avatar
Valtzu
Active Member
Posts: 115
Joined: Sun Aug 26, 2007 2:40 pm
Location: Sauvo
Contact:

Re: GrandiSoft

Post by Valtzu » Wed Jan 09, 2008 4:57 pm

Grandi wrote:Se piti lisätä mut laiskistuin :roll: Mites arvasit oikeen urlin?
Heh, ei sellaista urlia ihan arvaamalla kyllä saa selville :lol: adminlinks.php-filusta löytyi..

User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Wed Jan 09, 2008 5:16 pm

Valtzu wrote:
Grandi wrote:Se piti lisätä mut laiskistuin :roll: Mites arvasit oikeen urlin?
Heh, ei sellaista urlia ihan arvaamalla kyllä saa selville :lol: adminlinks.php-filusta löytyi..
Damn ;( Täytyy tosissaan olla hieman varoivaisempi ensikerralla, tai sitten unohtaa koko ajatus adminpaneelista. Ja sinne paneeliin ois päässy helposti laittamalla kirjautumissivun url:in päätteeksi 01, jolloin sivu siirtää käyttäjän ylläpidon etusivulle :lol:
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

m1c
Member
Posts: 65
Joined: Tue Aug 28, 2007 5:10 pm
Location: \o

Re: GrandiSoft

Post by m1c » Wed Jan 09, 2008 7:07 pm

Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa. Tuo suoralla linkillä admin-cp:hen pääsy ei nyt niin hirveä turva-aukko ole, mutta varsinaineksi aasinsillaksi muodostui tosiaan, että se adminlinks oli kuvakansiossa, jossa oli tiedostolistaus käytössä. :) Komppaan sessioiden käyttöä.

Ulkoasussa värit sopivat hyvin yhteen, mutta ensin ihmettelin sisällön vähyyttä. Toisella vierailulla havaitsin vasta navigaatiopalkin sivun yläreunasta, joka oli lisäks lähes saman värinen kuin selaimen omat palkit. Sitten alkoi sisältöäkin löytyä. Navigaation havaitsemiseen vaikutti osaltaan varmasti iso näyttö isolla resoluutiolla jolloin se oli aika huomaamaton siellä nurkassaan.

User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Wed Jan 09, 2008 7:51 pm

m1c wrote:Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
IP:si on matkalla poliisin huostaan :)

Mut joo. Teen todennäköisesti aivan uuden sivupohjan.
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

User avatar
Murskaaja
Member
Posts: 92
Joined: Tue Aug 28, 2007 8:19 pm
Contact:

Re: GrandiSoft

Post by Murskaaja » Wed Jan 09, 2008 8:47 pm

m1c wrote:Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.
ASCII star wars Xtreme | Cool Bombers | Combat (kehitteillä)

RedShadow productions

User avatar
Nabixy
Member
Posts: 51
Joined: Mon Aug 27, 2007 10:22 pm

Re: GrandiSoft

Post by Nabixy » Wed Jan 09, 2008 11:53 pm

Murskaaja wrote:
m1c wrote:Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.
Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.

User avatar
Murskaaja
Member
Posts: 92
Joined: Tue Aug 28, 2007 8:19 pm
Contact:

Re: GrandiSoft

Post by Murskaaja » Thu Jan 10, 2008 1:55 am

naabip wrote:Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.
ASCII star wars Xtreme | Cool Bombers | Combat (kehitteillä)

RedShadow productions

User avatar
anttipanda
Active Member
Posts: 248
Joined: Mon Aug 27, 2007 9:23 pm
Location: Oulu

Re: GrandiSoft

Post by anttipanda » Thu Jan 10, 2008 11:07 am

Se piti lisätä mut laiskistuin :roll: Mites arvasit oikeen urlin?
Yleinen sanonta (tietoturvapiireissä) joka on hyvä muistaa: "Security thourgh obscurity - it is NOT security!". Jos tietoturva perustuu piilotettuun sivustoon, salasanaan tai muuhun vastaavaan staattiseen tietoon, on turva käytännössä jo alusta asti menetetty. Piilotetun sivuston löytää hyvällä tuurilla googlella, ja selväkielisen salasanan pystyy myös penkomaan esille. Kun salaisuus on kerran selvitetty, niin kaikki voivat käyttää sitä.

Parempi on tosiaan käyttää webbiserverin hallinnoimia autentikointimuotoja käyttäjäroolien validointiin- ota selvää mitä serverisi tukee.

Hyvä vinkki on myös aina kytkeä tiedostolistaus pois kaikista kansioista sivustollaan. Siitä ei ole kuin harmia. Jos käytössä on skriptikieli, esim. PHP, on todella helppoa tehdä tai asentaa galleriasovellus jonka avulla voidaan kuvia selata tyylikkäästi, ilman että tiedostolistausta tarvitaan.
Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Bad excuses :( Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.

Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.
OoO

User avatar
Nabixy
Member
Posts: 51
Joined: Mon Aug 27, 2007 10:22 pm

Re: GrandiSoft

Post by Nabixy » Thu Jan 10, 2008 3:52 pm

Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Bad excuses :( Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.

Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.
Murskaaja wrote:
naabip wrote:Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.
Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.

Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.

User avatar
anttipanda
Active Member
Posts: 248
Joined: Mon Aug 27, 2007 9:23 pm
Location: Oulu

Re: GrandiSoft

Post by anttipanda » Thu Jan 10, 2008 3:59 pm

naabip wrote:Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.
Kysehän on periaatteesta. Käytännössä vertaus olisi mennyt niin että onko parempi saada puukkoa naapurilta kuin tuntemattomalta. Mutta liian raju vertaus on joka tapauksessa. Hyvä naapuri soittaa ovikelloa ja ilmoittaa oven olleen auki eikä nyysi stessejä. Nih!
naabip wrote:Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
Luulen että sinulla ei ole tässä nyt sananvaltaa ;)
OoO

User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Thu Jan 10, 2008 4:28 pm

Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

User avatar
anttipanda
Active Member
Posts: 248
Joined: Mon Aug 27, 2007 9:23 pm
Location: Oulu

Re: GrandiSoft

Post by anttipanda » Thu Jan 10, 2008 4:41 pm

Grandi wrote:Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.
Oikein :D
OoO

User avatar
Nabixy
Member
Posts: 51
Joined: Mon Aug 27, 2007 10:22 pm

Re: GrandiSoft

Post by Nabixy » Thu Jan 10, 2008 5:44 pm

naabip wrote:Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
Luulen että sinulla ei ole tässä nyt sananvaltaa
Sitä vain tarkoitin että eiköhän teon moraalit ole jo selvillä ja sivun tekijällekin tiedossa mitä on tapahtunut ja mitä on tehtävissä, joten miksi täyttää koko topikki väittelemällä aiheesta joka nytkin on kärjistynyt jo aikalailla mielipideasioiden ja pilkunviilauksen puolelle. Minun mielestäni nyt ollaan jo aika selvillä vesillä miten jatketaan. Minun osaltani asiasta ei tarvitse kiistellä sen enempää. Hyvä että homma saadaan kuntoon.

User avatar
valscion
Moderator
Moderator
Posts: 1593
Joined: Thu Dec 06, 2007 8:46 pm
Location: Espoo
Contact:

Re: GrandiSoft

Post by valscion » Fri Jan 11, 2008 5:02 pm

Jos sivuille tarvitaan jotain salasanasuojausta, suosittelen Webpage Password Protect PHP-koodia. Olen itse lisännyt tuohon koodiin vielä MD5 hashauksen, etteivät salasanat ole selkokielisinä EDES php-koodissa.

Tässä linkki: http://www.zubrag.com/scripts/password-protect.php

Ja tässä esimerkki: http://freeriderfinland.freehostia.com/ ... /login.php
cbEnchanted, uudelleenkirjoitettu runtime. Uusin versio: 0.4.1 — Nyt myös sorsat GitHubissa!
NetMatch - se kunnon nettimättö-deathmatch! Avoimella lähdekoodilla varustettu
vesalaakso.com

User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Sat Jan 19, 2008 3:58 pm

Sivut elävät jälleen! Sivuilla on jälleen kerran uusi sivupohja, tällä kertaa melko minimalistinen :D Se toimii melkein yhtä hyvin Internet Exploder 7:llä ja Mozilla Firefox 3.0:lla. Vanha sivupohja taas löytyy lataamosta. Ja täs on linkki.
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Sun Feb 10, 2008 6:28 pm

Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

BulletStorm

Re: GrandiSoft

Post by BulletStorm » Sun Feb 10, 2008 6:44 pm

Grandi wrote:Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.
Linkkiä klikatessa ei tapahdu yhtään mitään :|

User avatar
Koodiapina
Forum Veteran
Posts: 2396
Joined: Tue Aug 28, 2007 4:20 pm
Contact:

Re: GrandiSoft

Post by Koodiapina » Sun Feb 10, 2008 6:47 pm

Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...
Olen liian älykäs ollakseni väärässä. Jos olet kanssani eri mieltä, suosittelen sinua pohtimaan omaa elämänkatsomustasi ja sen perusteita.

User avatar
SPuntte
Tech Developer
Tech Developer
Posts: 650
Joined: Mon Aug 27, 2007 9:51 pm
Location: Helsinki, Finland
Contact:

Re: GrandiSoft

Post by SPuntte » Sun Feb 10, 2008 7:04 pm

Grandi wrote:Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...
Haloo, järkeä saa käyttää. Pitäisi vähän ymmärtää nettitekniikasta, jos omaa palvelinta alkaa pyörittää. Tuo 192.168.. on palvelimesi sisäinen IP-osoite. Siis se, millä pääset siihen käsiksi oman LANisi sisältä. Arvaanpa muuten, että sinulla on ZyXelin ADSL-modeemi.. Ja olethan tarkistanut, että ISPsi sallii palvelimen pitämisen nettiliittymäsi päässä?
EDIT:

Me tarvitsemme palvelimen ulkoisen IPn, jonka saat selville vaikkapa WhatIsMyIPstä. Lisäksi reitittimen asetukset pitää olla siellä päässä säädetty oikein. Ja jos liittymässäsi ei ole staattista IP-tä voi antamasi osoite johtaa viikon kulutta jonnekin ihan muualle, todennäköisesti ei minnekään.

CoolBasic henkilökuntaa
Tech-kehittäjä
CoolBasic Classic, Cool VES

CoolPhysicsEngine | MissileSystem | Jana-ympyrä -törmäys | cbSimpleTexture | CoolCPLX

Post Reply