GrandiWeb

[Koodiapina]

Vinkki: Suosittelen, että ensi kerralla teet admin-systeemin oikeasti kekseillä tai sessiolla. Ei semmosia, että tietyllä urlilla pääsee hallinnoimaan sivua ilman tunnuksia

Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?

[Valtzu]

Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?

Heh, ei sellaista urlia ihan arvaamalla kyllä saa selville adminlinks.php-filusta löytyi..

[Koodiapina]

Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?

Heh, ei sellaista urlia ihan arvaamalla kyllä saa selville adminlinks.php-filusta löytyi..

Damn ;( Täytyy tosissaan olla hieman varoivaisempi ensikerralla, tai sitten unohtaa koko ajatus adminpaneelista. Ja sinne paneeliin ois päässy helposti laittamalla kirjautumissivun url:in päätteeksi 01, jolloin sivu siirtää käyttäjän ylläpidon etusivulle

[m1c]

Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa. Tuo suoralla linkillä admin-cp:hen pääsy ei nyt niin hirveä turva-aukko ole, mutta varsinaineksi aasinsillaksi muodostui tosiaan, että se adminlinks oli kuvakansiossa, jossa oli tiedostolistaus käytössä. Komppaan sessioiden käyttöä.

Ulkoasussa värit sopivat hyvin yhteen, mutta ensin ihmettelin sisällön vähyyttä. Toisella vierailulla havaitsin vasta navigaatiopalkin sivun yläreunasta, joka oli lisäks lähes saman värinen kuin selaimen omat palkit. Sitten alkoi sisältöäkin löytyä. Navigaation havaitsemiseen vaikutti osaltaan varmasti iso näyttö isolla resoluutiolla jolloin se oli aika huomaamaton siellä nurkassaan.

[Koodiapina]

Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.

IP:si on matkalla poliisin huostaan

Mut joo. Teen todennäköisesti aivan uuden sivupohjan.

[Murskaaja]

Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.

Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.

[Nabixy]

Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.

Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.

Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.

[Murskaaja]

Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.

Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.

[anttipanda]

Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?

Yleinen sanonta (tietoturvapiireissä) joka on hyvä muistaa: "Security thourgh obscurity - it is NOT security!". Jos tietoturva perustuu piilotettuun sivustoon, salasanaan tai muuhun vastaavaan staattiseen tietoon, on turva käytännössä jo alusta asti menetetty. Piilotetun sivuston löytää hyvällä tuurilla googlella, ja selväkielisen salasanan pystyy myös penkomaan esille. Kun salaisuus on kerran selvitetty, niin kaikki voivat käyttää sitä.

Parempi on tosiaan käyttää webbiserverin hallinnoimia autentikointimuotoja käyttäjäroolien validointiin- ota selvää mitä serverisi tukee.

Hyvä vinkki on myös aina kytkeä tiedostolistaus pois kaikista kansioista sivustollaan. Siitä ei ole kuin harmia. Jos käytössä on skriptikieli, esim. PHP, on todella helppoa tehdä tai asentaa galleriasovellus jonka avulla voidaan kuvia selata tyylikkäästi, ilman että tiedostolistausta tarvitaan.

Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.

Bad excuses Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.

Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.

[Nabixy]

Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.

Bad excuses Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.

Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.

Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.

Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.

Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.

Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.

[anttipanda]

Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.

Kysehän on periaatteesta. Käytännössä vertaus olisi mennyt niin että onko parempi saada puukkoa naapurilta kuin tuntemattomalta. Mutta liian raju vertaus on joka tapauksessa. Hyvä naapuri soittaa ovikelloa ja ilmoittaa oven olleen auki eikä nyysi stessejä. Nih!

Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.

Luulen että sinulla ei ole tässä nyt sananvaltaa

[Koodiapina]

Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.

[anttipanda]

Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.

Oikein

[Nabixy]

Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.

Luulen että sinulla ei ole tässä nyt sananvaltaa

Sitä vain tarkoitin että eiköhän teon moraalit ole jo selvillä ja sivun tekijällekin tiedossa mitä on tapahtunut ja mitä on tehtävissä, joten miksi täyttää koko topikki väittelemällä aiheesta joka nytkin on kärjistynyt jo aikalailla mielipideasioiden ja pilkunviilauksen puolelle. Minun mielestäni nyt ollaan jo aika selvillä vesillä miten jatketaan. Minun osaltani asiasta ei tarvitse kiistellä sen enempää. Hyvä että homma saadaan kuntoon.

[valscion]

Jos sivuille tarvitaan jotain salasanasuojausta, suosittelen Webpage Password Protect PHP-koodia. Olen itse lisännyt tuohon koodiin vielä MD5 hashauksen, etteivät salasanat ole selkokielisinä EDES php-koodissa.

Tässä linkki: http://www.zubrag.com/scripts/password-protect.php

Ja tässä esimerkki: http://freeriderfinland.freehostia.com/ ... /login.php

[Koodiapina]

Sivut elävät jälleen! Sivuilla on jälleen kerran uusi sivupohja, tällä kertaa melko minimalistinen Se toimii melkein yhtä hyvin Internet Exploder 7:llä ja Mozilla Firefox 3.0:lla. Vanha sivupohja taas löytyy lataamosta. Ja täs on linkki.

[Koodiapina]

Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.

[BulletStorm]

Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.

Linkkiä klikatessa ei tapahdu yhtään mitään

[Koodiapina]

Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...

[SPuntte]

Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...

Haloo, järkeä saa käyttää. Pitäisi vähän ymmärtää nettitekniikasta, jos omaa palvelinta alkaa pyörittää. Tuo 192.168.. on palvelimesi sisäinen IP-osoite. Siis se, millä pääset siihen käsiksi oman LANisi sisältä. Arvaanpa muuten, että sinulla on ZyXelin ADSL-modeemi.. Ja olethan tarkistanut, että ISPsi sallii palvelimen pitämisen nettiliittymäsi päässä?

EDIT:

Me tarvitsemme palvelimen ulkoisen IPn, jonka saat selville vaikkapa WhatIsMyIPstä. Lisäksi reitittimen asetukset pitää olla siellä päässä säädetty oikein. Ja jos liittymässäsi ei ole staattista IP-tä voi antamasi osoite johtaa viikon kulutta jonnekin ihan muualle, todennäköisesti ei minnekään.