id: Гость   вход   регистрация
текущее время 13:32 26/05/2019
Автор темы: SАТtva_copy, тема открыта 12/06/2007 09:45 Печать
https://www.pgpru.com/Форум/Содействие/РазработкаСайтаВДействииСкриныИЭксплоиты
создать
просмотр
ссылки

Разработка сайта в действии: скрины и эксплоиты


Здесь будут публиковаться интересные эксклюзивные материалы, связанные с историей и развитием сайта.


На текущий момент уже есть три раритета:


  • Снимок экрана, сделанный spinore'ом: браузер с полученнми администраторскими полномочиями (вскоре будет выложен для общего доступа).
  • Снимок экрана, сделанный spinore'ом: браузер с чередующейся авторизацией (spinore с правами Serghan и Serghan с правами spinore, MD5 хеш файла: 80a054b5b0d59ed3b67c13b2d849191f, по мотивам этой темы).
  • Само это сообщение :-)

И, пожалуй, этот список ещё пополнится ;-)


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— SATtva (12/06/2007 19:30)   профиль/связь   <#>
комментариев: 11540   документов: 1036   редакций: 4088
А вообще, это всё из-за mellon который под моим ником опубликовал сообщение под гостём. Вы тогда, SATtva, сразу сказали про хэши ников и на этом всё кончилось. Если я не ошибаюсь, вы на тот менмент не понимали во что это может быть гипертрофировано в случае атаки. Собсно, я показал.

Вы правы, не понимал. А виноват во всём mellon, это точно! :-)
— spinore (12/06/2007 19:31)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Заглавные буквы при сверке ников тоже надо отключать.
То есть если spinore уже есть то Spinore или spInore должны резаться скриптом регистрации и скриптом проверяющим ник гостя.
— spinore (12/06/2007 19:34)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Вы правы, не понимал. А виноват во всём mellon, это точно! :-)

Ну наконец-то разобрались и нашли виноватого :-) Ну что, берём mellon'а и где у нас тут гильотина?
Птфу, chroot, а не гильотина... Оговорился.
:-)
— unknown (12/06/2007 20:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Надо было рекламу заранее дать:

Не пропустите! Хит сезона: "Атака кло(у) нов" на сайте pgpru.com!

Режиссёр и исполнитель главной роли: spinore. По мотивам mellon.

А то половина народу так и не успеет ничего заметить. И останутся только скупые строчки в местных новостях.
— spinore (12/06/2007 21:10)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Вы, unknown, неужто полагаете что я всё это знал заранее? Каждую минуту я не знал какой будет следующий шаг, сообщение и идея. Это всё рождалось налету. и я совсем не предполагал что выльется в этом
Может быть, когда-нибудь SATtva'а добавит страничку в фак или ещё куда о существовании в ИБ такого понятия как социнженерия и спекуляции на пересечении разных алфавитов. Да, ранее я прекрасно знал что какую-нибдь "o" можно написать в обоих раскладках, но я даже не предполагал что из этого можно сотворить комедию вселенского масштаба :-)
P. S.: вещи из категории очевидных, но только "задним числом", когда уже знаешь... :-)
— SATtva (12/06/2007 21:34)   профиль/связь   <#>
комментариев: 11540   документов: 1036   редакций: 4088
P. S.: ну за неделю поди исправим?

Основное исправим, прочее оставим на закуску.

P. P. S.: я там по разным топикам много по существу ошибок выловил, нареканий, недочётов... Вы внимательно читайте, надо всё это вычищать и исправлять, баги в смысле. Что от меня зависит я делаю.

Лучше сваливайте свои наблюдения на страницу разработки движка. Поверьте, мне так проще будет самому отслеживать прогресс и подлежащие исправлению проблемы, чем искать их по всем топикам (коих уже не меньше дюжины). Я ведь не только этим сайтом занимаюсь, а ещё и на покушать себе зарабатываю, и иногда читаю обсуждения "по диагонали", могу что-то пропустить.
— unknown (12/06/2007 22:07)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Вы, unknown, неужто полагаете что я всё это знал заранее? Каждую минуту я не знал какой будет следующий шаг, сообщение и идея. Это всё рождалось налету. и я совсем не предполагал что выльется в этом


Не скромничайте! Блестящая импровизация иногда ценится даже больше, чем хорошо продуманный план.

[/me] подумывает сменить свой ник на жертва киберклонирования.
А Вам в придачу к обещанному пиву подарить SATtve ящик корвалола, чтобы какой-нибудь очередной бал-маскарад не попортил ему нервы. А то смотрите, он ведь и разозлиться может!
— SATtva (12/06/2007 23:38, исправлен 12/06/2007 23:56)   профиль/связь   <#>
комментариев: 11540   документов: 1036   редакций: 4088
Я сделал некоторую проверку ников на похожесть при регистрации и добавлении комментария / правки страницы гостем. Вряд ли она даст стопроцентный результат, но от большинства проблем избавит.

Мы ищем в базе данных два варианта имени с заменёнными наборами символов (как из кириллицы в латиницу, так и обратно), а также оригинальный вариант без транслитерации:

Подскажите, если здесь чего-то не достаёт. У меня после пары бессонных ночей голова уже слабо соображает.
— spinore (13/06/2007 02:07, исправлен 13/06/2007 02:09)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
SATtva:
Лучше сваливайте свои наблюдения на страницу разработки движка.

Хорошо
unknown:
подумывает сменить свой ник на жертва киберклонирования.

"герой киберклонирования" звучит оптимистичнее :-)
unknown:
А Вам в придачу к обещанному пиву подарить SATtve ящик корвалола

Ещё есть волокардин, димидрол, валерианка, реланиум,...
unknown:
А то смотрите, он ведь и разозлиться может!

Не прежеивайте, у него хорошая выдержка. Кстати, unknown, а вас никогда не ломали/копрометировали?
SATtva:
Если бы я искал только выгоду, то этот сайт ныне вообще бы не существовал. ;-)

Насколько я понимаю, только те вещи, которые человек сделал в жизни бесплатно ради идеи в конечном счёте покажутся ему не бессмысленными в конце жизни. А деньги, это то что сгубило всё, всю жизнь протравило :-(
— spinore (13/06/2007 02:13)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
I l <-> 1

SATтva (тест)
— spinore (13/06/2007 02:22)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
unknown:
Не скромничайте! Блестящая импровизация иногда ценится даже больше, чем хорошо продуманный план.

Уже позже дошло, что надо было инсценировать приход подлинного SATtva'ы, его возмущёные реплики, апелляции к тому у кого хэш длинее и кто больше может подписать, потом появление ещё одного подлинного SATtva'ы с другой моделью реакции на происходящее, где каждый бы аппелировал к своим параметрам аккаунта, выдавая за верные, в итоге подлинность SATtva'ы стала бы определяться голосованием среди посетителей, а каждый бы из клонов SATtva'ы кричал "голосуйте за менчя! Я завтра восстановлю аккаунт и у меня будет 10.000 постов в рейтинге! И вам всем по 100 набавлю! А другой бы кричал "да это всё ернуда! Голосуйте за меня, я настоящий SATtva! Я вам дам возможность править все документы! У нас будет демократичный форум где все будут модераторами а пользователи будут отчаянно метаться между разными инстэнсами Саттв пытаясь выбрать лучшее ... В итоге всё сводится к полнейшему бардаку, в форуме общаются уже 6 разных инстэнсов SATtva'ы (именно столько их с учётом коллизий), каждый говорит полную чушь, все пользователи в растерянности от происходящего, под самый конец приходит тру истинный SATtva и падает в обморок. Занавес. -:)
Что-то в этом духе :-)
— unknown (13/06/2007 09:19, исправлен 13/06/2007 09:21)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Не прежеивайте, у него хорошая выдержка. Кстати, unknown, а вас никогда не ломали/копрометировали?

Я каждый раз убеждаюсь и самостоятельно, и с чужой помощью, как легко это можно сделать в любой момент, что давно надоело относиться всерьёз ко всему этому "security theater".

К счастью мне ничего особо ценного не поручают.

каждый говорит полную чушь, все пользователи в растерянности от происходящего, под самый конец приходит тру истинный SATtva и падает в обморок. Занавес. -:)

Это уже не комедия, это киберапокалипсис какой-то :)
— unknown (13/06/2007 09:56, исправлен 13/06/2007 10:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кстати, на протяжении всей истории люди чем-то похожим занимались, только эта стратегия была придумана не для забавных игр:

Что-нибудь слышали про false-flag?

False flag

False flag operations are covert operations conducted by governments, corporations, or other organizations, which are designed to appear as if they are being carried out by other entities. The name is derived from the military concept of flying false colors; that is, flying the flag of a country other than one's own. False flag operations are not limited to war and counter-insurgency operations, and have been used in peace-time; for example, during Italy's strategy of tension.

Spy tradecraft

In espionage the false flag technique is used to recruit people into spying or stealing critical documents, by convincing them that they are working for a friendly government or their own government. The technique can also be used to catch a spy by having a loyal agent pose as a spy from the other side and approach someone suspected of spying.

Terrorism and false flag operations

Terrorist attacks may sometimes be in fact false flag operations.


Civilian usage:
Businesses/Political Campaigning


См. также black operations, black bag operations, sabotage, PSYOP...
— SATtva (13/06/2007 11:06, исправлен 13/06/2007 11:17)   профиль/связь   <#>
комментариев: 11540   документов: 1036   редакций: 4088
spinore:
SATтva (тест)

Буквы "t=т", "I=l" добавил.
— unknown (13/06/2007 11:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Может помещать вновь зарегистрировавшихся пользователей в карантин с минимальным набором прав?

Хотя что потом с ними делать? Вручную подозрительных отслеживать? Так они хитрые, затаиться могут :-)
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3