Se piti lisätä mut laiskistuinValtzu wrote:Vinkki: Suosittelen, että ensi kerralla teet admin-systeemin oikeasti kekseillä tai sessiolla. Ei semmosia, että tietyllä urlilla pääsee hallinnoimaan sivua ilman tunnuksia
Mites arvasit oikeen urlin?Heh, ei sellaista urlia ihan arvaamalla kyllä saa selvilleGrandi wrote:Se piti lisätä mut laiskistuin
adminlinks.php-filusta löytyi..Damn ;( Täytyy tosissaan olla hieman varoivaisempi ensikerralla, tai sitten unohtaa koko ajatus adminpaneelista. Ja sinne paneeliin ois päässy helposti laittamalla kirjautumissivun url:in päätteeksi 01, jolloin sivu siirtää käyttäjän ylläpidon etusivulleValtzu wrote:Heh, ei sellaista urlia ihan arvaamalla kyllä saa selvilleGrandi wrote:Se piti lisätä mut laiskistuin
Komppaan sessioiden käyttöä.IP:si on matkalla poliisin huostaanm1c wrote:Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.m1c wrote:Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.Murskaaja wrote:Se, että löytää tuollaisen turva-aukon ja pystyy muokkaamaan sivustoja ei tarkoita, että niin pitäisi tehdä. Vaikka tuohon "murtautumiseen" ei kovin paljoa vaadittu, niin sen perusteella olisi voinut olettaa, että sinulla olisi ollut järkeä ilmoittaa siitä eteenpäin. Sen sijaan piti lähteä rikolliselle polulle. Toivottavasti et selviä seurauksitta, jotta opit olemaan hölmöilemättä jatkossa.m1c wrote:Heh, sivun tyylejä katsoessa löytyi kansio img, ja suunnistin selaimella sinne. Sieltä löytyi tuo adminlinks.php, jonka avulla pääsy hallintapaneeliin napsahti. Itse tunnustan lisänneeni Rick Astleyn ilahduttamaan sivustoa.
Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.naabip wrote:Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Yleinen sanonta (tietoturvapiireissä) joka on hyvä muistaa: "Security thourgh obscurity - it is NOT security!". Jos tietoturva perustuu piilotettuun sivustoon, salasanaan tai muuhun vastaavaan staattiseen tietoon, on turva käytännössä jo alusta asti menetetty. Piilotetun sivuston löytää hyvällä tuurilla googlella, ja selväkielisen salasanan pystyy myös penkomaan esille. Kun salaisuus on kerran selvitetty, niin kaikki voivat käyttää sitä.Se piti lisätä mut laiskistuin
Bad excusesTilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Hyvä ajatus pahaan tekoon käärittynä on sama kuin paskaa käärepaperissa. Sivun mutilointi ja siitä vieläpä ilmoittamatta ei aiheuta kuin kysymyksiä ja eripuraa. Paras on ilmoittaa sivuston tekijälle ja muutosehdotuskaan ei ole pahitteeksi.Bad excusesTilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Ainoa tapa milloin hyökkäys ohjelmistoa kohtaan on hyväksyttävää, on sovitussa demonstrointi- tai testaustilanteessa, jossa pyritään osoittamaan kuinka helppo ohjelmistoon on murtautua, tai kuinka tärkeää korjaus ongelmaan on saada. Testauksessa brutaalit ohjelmistohyökkäykset ovat olennaisia sillä millään muulla tavalla ohjelmistojen tietoturvaa ei voi viimekädessä varmentaa. Mutta ei noin.
Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.Murskaaja wrote:Niinhän se on, mutta eikö pelkkä ilmoitus sivuston hallinnoijalle olisi riittänyt? Jos nyt lähdetään kärjistämään, tuon mukaan olisi hyväksyttävää varastaa naapurilta, jos ovi on sattunut unohtumaan auki. Sittenpähän oppii varmistamaan, että se ovi tuli varmasti laitettua kiinni.naabip wrote:Tilaisuus tekee varkaan kuten sanotaan, ei ihan suoraan tähän istu, mutta ajanee asian. Jonkunhan sitä täytyy rikkoja vähän rajoja, jotta sivustojen hallinnoija oppii entistä paremmin hallitsemaan sivujaan ja turvallisesti. Tämänhän ne monet hakkeritkin asettavat edustuksekseen - ja se toimii. Onhan ne CB-foorumitkin kerran alas pistetty, ja mitä siitä opittiin? No, ainakin foorumit ovat vaihtuneet, toivottavasti turvallisempaan.
Kysehän on periaatteesta. Käytännössä vertaus olisi mennyt niin että onko parempi saada puukkoa naapurilta kuin tuntemattomalta. Mutta liian raju vertaus on joka tapauksessa. Hyvä naapuri soittaa ovikelloa ja ilmoittaa oven olleen auki eikä nyysi stessejä. Nih!naabip wrote:Olisko parempi herätä siihen että naapuri kolistelee alakerrassa stereoitten kimpussa vai siihen että puukko lävistää kehosi jonkun astetta pahemman tekijän toimesta? Minusta hyvä että asia nyt kohtuu turvallisesti on selvinnyt täällä piireissä. Ja toivottavasti kukaan ei ainakaan täältä ei mitään oikeaa vahinkoa sivuille ole aiheuttanut.
Luulen että sinulla ei ole tässä nyt sananvaltaanaabip wrote:Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
OikeinGrandi wrote:Ei tässä kenenkään päätä olla pölkylle laittamassa. Voisin tietenkin pyytää kaveria penkomaan Apachen logeja ja antaa IP:n poliiseille, mutta uskon tekijöiden olevan liian lapsia ottaakseen vastuuta tästä (Sitäpaitsi sivuista löytyy varmuuskopiot, eli niiden palauttaminen käy alle minuutissa). Teen nuo sessio ja keksi jutut ja yritän vain pitää idiootit kauempana hallintapaneelista.
Sitä vain tarkoitin että eiköhän teon moraalit ole jo selvillä ja sivun tekijällekin tiedossa mitä on tapahtunut ja mitä on tehtävissä, joten miksi täyttää koko topikki väittelemällä aiheesta joka nytkin on kärjistynyt jo aikalailla mielipideasioiden ja pilkunviilauksen puolelle. Minun mielestäni nyt ollaan jo aika selvillä vesillä miten jatketaan. Minun osaltani asiasta ei tarvitse kiistellä sen enempää. Hyvä että homma saadaan kuntoon.Luulen että sinulla ei ole tässä nyt sananvaltaanaabip wrote:Mutta kun asia on jokseenkin selvinnyt tästä onkin turha kiistellä sen enempää.
Se toimii melkein yhtä hyvin Internet Exploder 7:llä ja Mozilla Firefox 3.0:lla. Vanha sivupohja taas löytyy lataamosta. Ja täs on linkki.Linkkiä klikatessa ei tapahdu yhtään mitäänGrandi wrote:Sivut on nyt siirretty omalle servulleni. Haluaisin tietää, että pääsettekö katselemaan niitä omalta koneeltanne. Linkki. Ä:t ja Ö:t ei muuten toimi ollenkaan.
Haloo, järkeä saa käyttää. Pitäisi vähän ymmärtää nettitekniikasta, jos omaa palvelinta alkaa pyörittää. Tuo 192.168.. on palvelimesi sisäinen IP-osoite. Siis se, millä pääset siihen käsiksi oman LANisi sisältä. Arvaanpa muuten, että sinulla on ZyXelin ADSL-modeemi.. Ja olethan tarkistanut, että ISPsi sallii palvelimen pitämisen nettiliittymäsi päässä?Grandi wrote:Koodissa oli virhe. Tämän pitäisi toimia. Mutta jos ei, niin sitten on outoa...
Me tarvitsemme palvelimen ulkoisen IPn, jonka saat selville vaikkapa WhatIsMyIPstä. Lisäksi reitittimen asetukset pitää olla siellä päässä säädetty oikein. Ja jos liittymässäsi ei ole staattista IP-tä voi antamasi osoite johtaa viikon kulutta jonnekin ihan muualle, todennäköisesti ei minnekään.