פורסם: 04/01/2009 - 14:54
נושא ההודעה: דרושה עזרה להרמת אתר שהותקף - הבעלים בצו שמונה.
|
|
שלום לכולם.
פנו אלי בבקשת עזרה. אתר שהותקף והוחרב בחווה של נטוויזן. (חיפה).
הבעלים גויס (כמה סימבולי) בצו שמונה.
אני מחפש מתנדב שיכול לקפוץ אחר הצהרים ולעזור (יש סיכוי טוב שאוכל לעזור טלפונית) להרים את המערכת.
יום טוב ותודה מראש.
רם-און.
052-690-1789
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 16:11
נושא ההודעה:
|
|
אתה מתכוון לאתר help-israel-win.com
כי גם הוא נעלם פתאום
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 19:13
נושא ההודעה:
|
אני מזכיר לאלה שלא יודעים: אנחנו מספקים שירות סריקות *חינם* לבעלי אתרים ישראלים לא מסחריים שחוששים מהתקפות כאלה. הסריקה תספק לכם דו"ח שאומר איפה קיימות פרצות שדרכם האקרים כאלה יכולים להכנס.
אתרים ישראלים לא מסחריים יכולים לקבל את השירות ללא תשלום, וללא כל התחייבות. פשוט, היינו רוצים לראות פחות אתרים נפרצים ואפשר בקלות למנוע את הפריצה ע"י סריקה ותיקון הבעיות.
אתם מוזמנים לפנות אלי ל- aviram@beyondsecurity.com לקבל עוד פרטים או לבקש להרשם.
עדיף לפנות באימייל ולא בהודעה פרטית.
למסוקרנים, הנה ניתוח אירוע של אתר ישראלי שהותקף ע"י קבוצת team evil (שפעילה מאוד גם עכשיו):
http://www.beyondsecurity.com/besirt/advisories/team-evil-incident.pdf
- אבירם
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 22:01
נושא ההודעה:
|
|
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 22:03
נושא ההודעה:
|
בנוסף לזה ...איפה אני יכול לראות את הקוד של התוכנה שלהם ?
אם הם נותנים לי את הקוד אני נכנס ..
נראה לי שמשהו דאג להוריד את האתר של חיזבלה http://www.hizbollah.tv/
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 22:12
נושא ההודעה: אנשים מצחיקים.
|
|
אתם חושבים שתשיגו משהו מזה שתפילו אתרים של אירגונים אחרים? אתם רק תלמדו אותם כיצד להגן על עצמם טוב יותר. אין בכך קידמה או סיפוק.
בנתיים, אני עוזר לחבר'ה לשחזר מה שאפשר מהאתר שקרס. במקום להשקיע אנרגיה בשטויות, אפשר למצוא מישהו בסביבה שאפשר לעזור לו.
ועוד אגב, לדעתי המלחמה הזו אחד הדברים המטופשים שמדינת ישראל עשתה, והיא תעלה לנו במחיר נורא.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 22:25
נושא ההודעה: באיזו מידה אבירם מחויב לשירות ובאיזו מידה דרוש "לא מסחר
|
| aviram : | אני מזכיר לאלה שלא יודעים: אנחנו מספקים שירות סריקות *חינם* לבעלי אתרים ישראלים לא מסחריים שחוששים מהתקפות כאלה. הסריקה תספק לכם דו"ח שאומר איפה קיימות פרצות שדרכם האקרים כאלה יכולים להכנס.
אתרים ישראלים לא מסחריים יכולים לקבל את השירות ללא תשלום, וללא כל התחייבות. פשוט, היינו רוצים לראות פחות אתרים נפרצים ואפשר בקלות למנוע את הפריצה ע"י סריקה ותיקון הבעיות.
|
האם גם האתר של הילד שלי, שאינו מסחרי, פועל מהמחשב הביתי, ובסה"כ הוא יותר משחק לימודי מכל דבר אחר, יקבל שירות?
האם אתם מחויבים לספק שירות חינם לאורך זמן, או שהמוטיבציה, או אולי הכסף של המשקיעים, יגמר בסוף עופרת יצוקה?
ומה לגבי אתרים מסחריים שהמודל העסקי שלהם הוא "זה בחינם, אבל אם אתה מוכן לתרום אז נשמח לקבל"? ואתרים מסחריים, שעל פניו אינם רוחיים אך מחכים לימים טובים יותר?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 04/01/2009 - 22:53
נושא ההודעה:
|
למה ללכת רחוק?
יצא לי לראות את ההתקפה הזאת על שרת. במיקרה שלי, פשוט מדובר במתכנת דפקט שהכניס את הערך של REQUEST ישר אל שאילתות SQL וגם שמר בקוקיז משהו בסגנון isloogedin=1 ו־userid=1.
באתר אחר, אני נכנס וראה שאחרי מנגנון האימות אני מקבל frameset. אני נכנס לאחד מהפריימים בדפדפן אחר ואני מקבל את רשימת המשתמשים ללא הזדהות. לא היה לי לב ליצור לעצמי חשבון משתמש באתר... אבל לפחות בעל האתר מודע לכמה שהוא ערום.
אבירם, אתה מצחיק... אתה מדבר על ההבדלים בין המימוש של regular expressions בין php4/php5 ואני מדבר על אתרים בחוץ, שנכתבו על ידי אנאלפבתים שאחרי זה שולחים לי אימיילים שבהם אני כביכול מתנשא אליהם... חחחח... 
מי משתמש בקוקיז במקום session כדי לשמור מידע כזה???!?? מי1???!? (זה בסדר, הוא לא מלמד תכנות web... רגע... בעצם....)
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 05:15
נושא ההודעה: האם אפשר לקבל פרשנות מה elcucu ניסה לומר?
|
לא הבנתי אף מילה.
1. היכולת שלי בתכנות web היא אפסית. session? על מה אתה מדבר? נדמה לי שאני יודע מה זה קוקיז ברמה של גולש.
2. האם לא התיחסת לאנשים מסוימים?
סיכום בינים: האם אפשר לקבל פרשנות לדברים?
מחשבה נוספת: אולי להסתפק בתמצית מנהלים: כל מי שיש לו גישה לשרת מתכנת אתר. ו elcucu ניסה לתאר מה התוצאה. אבל האם זה לא תמצית החופש של תוכנה חופשית?
מחשבה שלישית: הראש היהודי בפעולה. אוצר הטבע הגדול ביותר של מדינת ישראל הוא הראש היהודי, הראש הגדול , מעטים מול רבים, התעוזה שלנו וכיו"ב ערכים.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 08:08
נושא ההודעה:
|
| elcuco : | למה ללכת רחוק?
יצא לי לראות את ההתקפה הזאת על שרת. במיקרה שלי, פשוט מדובר במתכנת דפקט שהכניס את הערך של REQUEST ישר אל שאילתות SQL וגם שמר בקוקיז משהו בסגנון isloogedin=1 ו־userid=1.
באתר אחר, אני נכנס וראה שאחרי מנגנון האימות אני מקבל frameset. אני נכנס לאחד מהפריימים בדפדפן אחר ואני מקבל את רשימת המשתמשים ללא הזדהות. לא היה לי לב ליצור לעצמי חשבון משתמש באתר... אבל לפחות בעל האתר מודע לכמה שהוא ערום.
אבירם, אתה מצחיק... אתה מדבר על ההבדלים בין המימוש של regular expressions בין php4/php5 ואני מדבר על אתרים בחוץ, שנכתבו על ידי אנאלפבתים שאחרי זה שולחים לי אימיילים שבהם אני כביכול מתנשא אליהם... חחחח...
מי משתמש בקוקיז במקום session כדי לשמור מידע כזה???!?? מי1???!? (זה בסדר, הוא לא מלמד תכנות web... רגע... בעצם....) |
תהרוג אותי, אבל אני לא רואה יתרונות של session על פני cookies.
אם כבר, חסרונות:
- session הוא מקור טוב להתקפת Dos, מכיוון שבכל חיבור של משתמש חדש נוצר קובץ\שורה בדאטאבייס, דבר היכול להקל על גורמים עויינים להפיל לך את השרת על ידי מילוי הדאטאבייס\מערכת הקבצים או אם יש הגבלה לכמות הSESSIONS, להגיע אליה ואז אף אחד לא יוכל להתחבר לאתר.
- סשנים משאירים הרבה ג'אנק לרוב, הרבה פעמים מצאתי בתיקיית הסשנים סשנים שנשארו פתוחים והשאירו קבצים ומידע בדאטאבייס ( למרות שטכנית אפשר להריץ סקריפט שכל כמה זמן מנקה סשנים ישנים, אבל השאלה היא את מי אתה מנתק מהאתר ).
- סשנים נסגרים בעת סגירת הדפדפן, אני לא רוצה שהמשתמשים באתר שלי יצטרכו כל פעם מחדש להתחבר.
- הרבה פחות יעיל. כשמשתמש מתחבר למערכת שלך, במקום לעשות בדיקה של השם והסיסמה שלו מול הדאטאבייס ( אתה יכול להצפין את הסיסמה בקוקי בתור md5 לשם אבטחה בסיסית ), אתה מתחיל ליצור קבצים על השרת שלך, ומידע מיותר אצל הקליינט.
מה שכן מצאתי יתרון בסשנים, זה הנוחות והקלות להשתמש בהם ולשמור מידע ארעי, למשל מאיזה דף הגעת לדף הנוכחי. לצערי את השימוש בקוקיז עשו בצורה לא נוחה בעליל, ביחס לשימוש בסשנים.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 08:14
נושא ההודעה: Re: האם אפשר לקבל פרשנות מה elcucu ניסה לומר?
|
| Anonymous : |
מחשבה שלישית: הראש היהודי בפעולה. אוצר הטבע הגדול ביותר של מדינת ישראל הוא הראש היהודי, הראש הגדול , מעטים מול רבים, התעוזה שלנו וכיו"ב ערכים. |
אפליה על רקע דתי אינה גזענות אבל היא בכל מקרה אפליה.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 08:19
נושא ההודעה:
|
| CooL_SPoT : | | elcuco : | למה ללכת רחוק?
יצא לי לראות את ההתקפה הזאת על שרת. במיקרה שלי, פשוט מדובר במתכנת דפקט שהכניס את הערך של REQUEST ישר אל שאילתות SQL וגם שמר בקוקיז משהו בסגנון isloogedin=1 ו־userid=1.
באתר אחר, אני נכנס וראה שאחרי מנגנון האימות אני מקבל frameset. אני נכנס לאחד מהפריימים בדפדפן אחר ואני מקבל את רשימת המשתמשים ללא הזדהות. לא היה לי לב ליצור לעצמי חשבון משתמש באתר... אבל לפחות בעל האתר מודע לכמה שהוא ערום.
אבירם, אתה מצחיק... אתה מדבר על ההבדלים בין המימוש של regular expressions בין php4/php5 ואני מדבר על אתרים בחוץ, שנכתבו על ידי אנאלפבתים שאחרי זה שולחים לי אימיילים שבהם אני כביכול מתנשא אליהם... חחחח...
מי משתמש בקוקיז במקום session כדי לשמור מידע כזה???!?? מי1???!? (זה בסדר, הוא לא מלמד תכנות web... רגע... בעצם....) |
תהרוג אותי, אבל אני לא רואה יתרונות של session על פני cookies.
אם כבר, חסרונות:
- session הוא מקור טוב להתקפת Dos, מכיוון שבכל חיבור של משתמש חדש נוצר קובץ\שורה בדאטאבייס, דבר היכול להקל על גורמים עויינים להפיל לך את השרת על ידי מילוי הדאטאבייס\מערכת הקבצים או אם יש הגבלה לכמות הSESSIONS, להגיע אליה ואז אף אחד לא יוכל להתחבר לאתר.
- סשנים משאירים הרבה ג'אנק לרוב, הרבה פעמים מצאתי בתיקיית הסשנים סשנים שנשארו פתוחים והשאירו קבצים ומידע בדאטאבייס ( למרות שטכנית אפשר להריץ סקריפט שכל כמה זמן מנקה סשנים ישנים, אבל השאלה היא את מי אתה מנתק מהאתר ).
- סשנים נסגרים בעת סגירת הדפדפן, אני לא רוצה שהמשתמשים באתר שלי יצטרכו כל פעם מחדש להתחבר.
- הרבה פחות יעיל. כשמשתמש מתחבר למערכת שלך, במקום לעשות בדיקה של השם והסיסמה שלו מול הדאטאבייס ( אתה יכול להצפין את הסיסמה בקוקי בתור md5 לשם אבטחה בסיסית ), אתה מתחיל ליצור קבצים על השרת שלך, ומידע מיותר אצל הקליינט.
מה שכן מצאתי יתרון בסשנים, זה הנוחות והקלות להשתמש בהם ולשמור מידע ארעי, למשל מאיזה דף הגעת לדף הנוכחי. לצערי את השימוש בקוקיז עשו בצורה לא נוחה בעליל, ביחס לשימוש בסשנים. |
זה מה שקורה כאשר מתכנתים ב-PHP יותר מדי זמן.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 13:26
נושא ההודעה:
|
תודה אנונימי, מאוד אינפורמטיבי, ובדיוק נוגע בנקודות שדיברתי עליהן.
פעם הבאה אם אין לך משהו חכם להגיד, אל תגיד אותו.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 13:31
נושא ההודעה:
|
|
האם זה אתר ריווחי ?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 13:38
נושא ההודעה: אני לא יודע אם ריווחי, אבל מסחרי :)
|
|
אני גם לא ממש מכיר את הבעלים. הגיעו אלי במקרה. למרות שאני מתנגד למלחמה התנגדות מוחלטת, הרי אני מכבד את האזרחים שנקראו ועוזר לבעלים. חינם.
בנתיים, נראה שהם מסתדרים. אתמול העתקנו את הקבצים החוצה מה- raid, ואני מקווה שהיום האתרים כבר יעמדו על הרגליים.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 22:53
נושא ההודעה:
|
(גלישה מהנושא...)
רם, אתה שוכח שמשתמש יש לו שליטה מלאה על קוקיז. אני שם אצלי עוגייה (קצת JS או הרחבה מתאימה של Firefox) ואין אבטחה לאתר שלך.
כמו כן, סשן לא נסגר אחרי שאתה סוגר את הדפדפן. מה שקורה זה: נוצרת עוגייה אצל הדפדפן בה מספר אקראי. המספר הזה ממופה לקובץ (/var/lib/php/ אם אני לא טועה). מצד שני php יודע מתי הקובץ נוצר ואם עברו יותר מ־20 דקות ללא שהקובץ עודכן - ה"סשן" מת.
נו, מה, אני צריך ללמד אותך WebDeveloping? מה פספסתי בתיאור שלי?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 05/01/2009 - 23:08
נושא ההודעה:
|
| elcuco : | (גלישה מהנושא...)
רם, אתה שוכח שמשתמש יש לו שליטה מלאה על קוקיז. אני שם אצלי עוגייה (קצת JS או הרחבה מתאימה של Firefox) ואין אבטחה לאתר שלך.
כמו כן, סשן לא נסגר אחרי שאתה סוגר את הדפדפן. מה שקורה זה: נוצרת עוגייה אצל הדפדפן בה מספר אקראי. המספר הזה ממופה לקובץ (/var/lib/php/ אם אני לא טועה). מצד שני php יודע מתי הקובץ נוצר ואם עברו יותר מ־20 דקות ללא שהקובץ עודכן - ה"סשן" מת.
נו, מה, אני צריך ללמד אותך WebDeveloping? מה פספסתי בתיאור שלי? |
מידע שקשור במשתמש לא שומרים בצד משתמש בכל מקרה, לא חייבים סשן בכדי לשמור מידע כזה, יש דאטאבייס ויש מערכת קבצים.
סשן בדרך כלל אני מפעיל רק במקרה שהמשתמש מתחבר למערכת, ובמקרה הזה אין שוני. נגיד ואתה השגת את השם והסיסמה להתחברות למערכת, ונגיד והאתר לא עובד עם קוקיז, אלא עם סשן, אז אתה באותה מידה שהיית מגדיר קוקיז בדפדפן היית נכנס לאתר ושם את שם המשתמש והסיסמה.
אני לא מתווכח איתך על כך שמי ששם connected = 1 זה מטומטם. האמת שזה מטומטם בכל מקרה , גם אם זה בקוקיז וגם אם זה שמור בסשן, אני לא רואה לכך טעם, שבריר השנייה של הוצאת הנתונים מהדאטאבייס שווה את זה, וזה נתון שאתה מוציא פעם אחת בעלייה של דף ( ואם אתה כמוני אתה גם שומר קאש ואחר כך הטעינה אפילו יותר מהירה ).
"אני שם אצלי עוגייה (קצת JS או הרחבה מתאימה של Firefox) ואין אבטחה לאתר שלך."
תביא הוכחה
לינוקספאן עובד עם קוקיז ( יש גם סשן, אך הוא משמש רק למעקב מעבר בין דפים, לא משהו שקשור להגדרות ). אתה מוזמן למצוא לי בו את בעיית האבטחה הנוגעת לשימוש בקוקיז.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 06/01/2009 - 07:24
נושא ההודעה: Re: באיזו מידה אבירם מחויב לשירות ובאיזו מידה דרוש "לא
|
(משום מה אני לא מקבל התראות מהאתר על עדכונים לפתיל; אם יש לכם משהו להגיד לי, עדיף באימייל, אלא אם מנהלי האתר רוצים להסביר לי למה אני לא מקבל את ההתראות)
| Anonymous : | | aviram : | אני מזכיר לאלה שלא יודעים: אנחנו מספקים שירות סריקות *חינם* לבעלי אתרים ישראלים לא מסחריים שחוששים מהתקפות כאלה. הסריקה תספק לכם דו"ח שאומר איפה קיימות פרצות שדרכם האקרים כאלה יכולים להכנס.
אתרים ישראלים לא מסחריים יכולים לקבל את השירות ללא תשלום, וללא כל התחייבות. פשוט, היינו רוצים לראות פחות אתרים נפרצים ואפשר בקלות למנוע את הפריצה ע"י סריקה ותיקון הבעיות.
|
האם גם האתר של הילד שלי, שאינו מסחרי, פועל מהמחשב הביתי, ובסה"כ הוא יותר משחק לימודי מכל דבר אחר, יקבל שירות?
|
לא. אני לא חושב שאם האתר של הבן שלך יפרץ זה יזיז למישהו. אתר של ארגון ישראלי שנפרץ, לעומת זאת, משפיע על המורל הלאומי (ועובדה שאנשים מנדבים את זמנם לעזור לארגונים כאלה).
| ציטוט: |
האם אתם מחויבים לספק שירות חינם לאורך זמן, או שהמוטיבציה, או אולי הכסף של המשקיעים, יגמר בסוף עופרת יצוקה?
|
ההתחייבות שלנו לשירות היא לשנה. ארגונים שנרשמו בשלהי 2001 (בזמן ה"אינתיפדה האלקטרונית הראשונה") עדיין נסרקים על ידינו, ובחינם. אבל אנחנו לא מתחייבים לכלום מעבר לאותה שנה, ומצד שני בוא נזכור שגם אתה לא משלם לנו כלום אז נראה לי קצת מוגזם לבוא בטענות.
למשקיעים לא יגמר הכסף, כי לחברה אין משקיעים. יש לנו מודל עסקי מהפכני שנקרא "רווחים" שבו גופים שאנחנו קוראים להם "לקוחות" מעבירים לנו משהו שאנחנו קוראים לו "כסף" שאיתו אנחנו משלמים לעובדים ולספקים. אני יודע שזה קצת מהפכני, ואולי נשמע קצת משוגע, אבל זה בערך המודל.
כן, אני יודע - זה לא יתפוס.
האם המוטיבציה תגמר בסוף "עופרת יצוקה"? בהחלט יכול להיות. אני ידוע כטיפוס קפריזי. אם תבקש להרשם אחרי המבצע אולי נסכים ואולי לא. מצד שני, אני לא כל כך מבין איזה אינטרס יש לך לחכות עם שירות שאתה מקבל חינם.
| ציטוט: |
מה לגבי אתרים מסחריים שהמודל העסקי שלהם הוא "זה בחינם, אבל אם אתה מוכן לתרום אז נשמח לקבל"?
|
לא הבנתי את המודל. מה אני אמור לתרום? אוכל?
| ציטוט: |
ואתרים מסחריים, שעל פניו אינם רוחיים אך מחכים לימים טובים יותר?
|
לא אמרתי "אתרים לא רווחיים". אמרתי אתרים לא מסחריים.
(אגב, מה הסיפור עם הכפתור quote שלא עובד בפיירפוקס? לקח לי שעה לפרמט את התגובה הזאת)
|
|
|
| חזרה לתוכן הדיון |
פורסם: 06/01/2009 - 23:12
נושא ההודעה:
|
|
רם לא גר בדרום והא צועק שוב ושוב "אני יושן טוב בלילה "
|
|
|
| חזרה לתוכן הדיון |
|
|
ת.הצטרפות: 15/05/2005
·
הודעות: 614
·
