Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?Valtzu wrote:Vinkki: Suosittelen, että ensi kerralla teet admin-systeemin oikeasti kekseillä tai sessiolla. Ei semmosia, että tietyllä urlilla pääsee hallinnoimaan sivua ilman tunnuksia
GrandiWeb
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
Re: GrandiSoft
Heh, ei sellaista urlia ihan arvaamalla kyllä saa selville adminlinks.php-filusta löytyi..Grandi wrote:Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
Damn ;( Täytyy tosissaan olla hieman varoivaisempi ensikerralla, tai sitten unohtaa koko ajatus adminpaneelista. Ja sinne paneeliin ois päässy helposti laittamalla kirjautumissivun url:in päätteeksi 01, jolloin sivu siirtää käyttäjän ylläpidon etusivulleValtzu wrote:Heh, ei sellaista urlia ihan arvaamalla kyllä saa selville adminlinks.php-filusta löytyi..Grandi wrote:Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?
Re: GrandiSoft
Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa. Tuo suoralla linkillä admin-cp:hen pääsy ei nyt niin hirveä turva-aukko ole, mutta varsinaineksi aasinsillaksi muodostui tosiaan, että se adminlinks oli kuvakansiossa, jossa oli tiedostolistaus käytössä. Komppaan sessioiden käyttöä.
Ulkoasussa värit sopivat hyvin yhteen, mutta ensin ihmettelin sisällön vähyyttä. Toisella vierailulla havaitsin vasta navigaatiopalkin sivun yläreunasta, joka oli lisäks lähes saman värinen kuin selaimen omat palkit. Sitten alkoi sisältöäkin löytyä. Navigaation havaitsemiseen vaikutti osaltaan varmasti iso näyttö isolla resoluutiolla jolloin se oli aika huomaamaton siellä nurkassaan.
Ulkoasussa värit sopivat hyvin yhteen, mutta ensin ihmettelin sisällön vähyyttä. Toisella vierailulla havaitsin vasta navigaatiopalkin sivun yläreunasta, joka oli lisäks lähes saman värinen kuin selaimen omat palkit. Sitten alkoi sisältöäkin löytyä. Navigaation havaitsemiseen vaikutti osaltaan varmasti iso näyttö isolla resoluutiolla jolloin se oli aika huomaamaton siellä nurkassaan.
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
IP:si on matkalla poliisin huostaanm1c wrote:Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Mut joo. Teen todennäköisesti aivan uuden sivupohjan.
Re: GrandiSoft
Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.m1c wrote:Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Re: GrandiSoft
Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.Murskaaja wrote:Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.m1c wrote:Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Re: GrandiSoft
Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.naabip wrote:Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
-
- Active Member
- Posts: 248
- Joined: Mon Aug 27, 2007 9:23 pm
- Location: Oulu
Re: GrandiSoft
Yleinen sanonta (tietoturvapiireissä) joka on hyvä muistaa: "Security thourgh obscurity - it is NOT security!". Jos tietoturva perustuu piilotettuun sivustoon, salasanaan tai muuhun vastaavaan staattiseen tietoon, on turva käytännössä jo alusta asti menetetty. Piilotetun sivuston löytää hyvällä tuurilla googlella, ja selväkielisen salasanan pystyy myös penkomaan esille. Kun salaisuus on kerran selvitetty, niin kaikki voivat käyttää sitä.Se piti lisätä mut laiskistuin Mites arvasit oikeen urlin?
Parempi on tosiaan käyttää webbiserverin hallinnoimia autentikointimuotoja käyttäjäroolien validointiin- ota selvää mitä serverisi tukee.
Hyvä vinkki on myös aina kytkeä tiedostolistaus pois kaikista kansioista sivustollaan. Siitä ei ole kuin harmia. Jos käytössä on skriptikieli, esim. PHP, on todella helppoa tehdä tai asentaa galleriasovellus jonka avulla voidaan kuvia selata tyylikkäästi, ilman että tiedostolistausta tarvitaan.
Bad excuses Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.
OoO
Re: GrandiSoft
Bad excuses Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.
Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.Murskaaja wrote:Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.naabip wrote:Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
-
- Active Member
- Posts: 248
- Joined: Mon Aug 27, 2007 9:23 pm
- Location: Oulu
Re: GrandiSoft
Kysehän on periaatteesta. Käytännössä vertaus olisi mennyt niin että onko parempi saada puukkoa naapurilta kuin tuntemattomalta. Mutta liian raju vertaus on joka tapauksessa. Hyvä naapuri soittaa ovikelloa ja ilmoittaa oven olleen auki eikä nyysi stessejä. Nih!naabip wrote:Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.
Luulen että sinulla ei ole tässä nyt sananvaltaanaabip wrote:Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
OoO
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.
-
- Active Member
- Posts: 248
- Joined: Mon Aug 27, 2007 9:23 pm
- Location: Oulu
Re: GrandiSoft
OikeinGrandi wrote:Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.
OoO
Re: GrandiSoft
Sitä vain tarkoitin että eiköhän teon moraalit ole jo selvillä ja sivun tekijällekin tiedossa mitä on tapahtunut ja mitä on tehtävissä, joten miksi täyttää koko topikki väittelemällä aiheesta joka nytkin on kärjistynyt jo aikalailla mielipideasioiden ja pilkunviilauksen puolelle. Minun mielestäni nyt ollaan jo aika selvillä vesillä miten jatketaan. Minun osaltani asiasta ei tarvitse kiistellä sen enempää. Hyvä että homma saadaan kuntoon.Luulen että sinulla ei ole tässä nyt sananvaltaanaabip wrote:Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
Re: GrandiSoft
Jos sivuille tarvitaan jotain salasanasuojausta, suosittelen Webpage Password Protect PHP-koodia. Olen itse lisännyt tuohon koodiin vielä MD5 hashauksen, etteivät salasanat ole selkokielisinä EDES php-koodissa.
Tässä linkki: http://www.zubrag.com/scripts/password-protect.php
Ja tässä esimerkki: http://freeriderfinland.freehostia.com/ ... /login.php
Tässä linkki: http://www.zubrag.com/scripts/password-protect.php
Ja tässä esimerkki: http://freeriderfinland.freehostia.com/ ... /login.php
cbEnchanted, uudelleenkirjoitettu runtime. Uusin versio: 0.4.1 — Nyt myös sorsat GitHubissa!
NetMatch - se kunnon nettimättö-deathmatch! Avoimella lähdekoodilla varustettu
vesalaakso.com
NetMatch - se kunnon nettimättö-deathmatch! Avoimella lähdekoodilla varustettu
vesalaakso.com
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
Sivut elävät jälleen! Sivuilla on jälleen kerran uusi sivupohja, tällä kertaa melko minimalistinen Se toimii melkein yhtä hyvin Internet Exploder 7:llä ja Mozilla Firefox 3.0:lla. Vanha sivupohja taas löytyy lataamosta. Ja täs on linkki.
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.
Re: GrandiSoft
Linkkiä klikatessa ei tapahdu yhtään mitäänGrandi wrote:Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.
-
- Forum Veteran
- Posts: 2396
- Joined: Tue Aug 28, 2007 4:20 pm
Re: GrandiSoft
Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...
-
- Tech Developer
- Posts: 650
- Joined: Mon Aug 27, 2007 9:51 pm
- Location: Helsinki, Finland
- Contact:
Re: GrandiSoft
Haloo, järkeä saa käyttää. Pitäisi vähän ymmärtää nettitekniikasta, jos omaa palvelinta alkaa pyörittää. Tuo 192.168.. on palvelimesi sisäinen IP-osoite. Siis se, millä pääset siihen käsiksi oman LANisi sisältä. Arvaanpa muuten, että sinulla on ZyXelin ADSL-modeemi.. Ja olethan tarkistanut, että ISPsi sallii palvelimen pitämisen nettiliittymäsi päässä?Grandi wrote:Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...
EDIT:
Me tarvitsemme palvelimen ulkoisen IPn, jonka saat selville vaikkapa WhatIsMyIPstä. Lisäksi reitittimen asetukset pitää olla siellä päässä säädetty oikein. Ja jos liittymässäsi ei ole staattista IP-tä voi antamasi osoite johtaa viikon kulutta jonnekin ihan muualle, todennäköisesti ei minnekään.
CoolBasic henkilökuntaa
Tech-kehittäjä
CoolBasic Classic, Cool VES
CoolPhysicsEngine | MissileSystem | Jana-ympyrä -törmäys | cbSimpleTexture | CoolCPLX
Tech-kehittäjä
CoolBasic Classic, Cool VES
CoolPhysicsEngine | MissileSystem | Jana-ympyrä -törmäys | cbSimpleTexture | CoolCPLX