Pull to refresh

Comments 25

Хотелось бы прочитать про Telegram. А по поводу статьи — я вам конечно верю и все такое.
Но ничто не мешает мне написать такой же текст, возможно даже с заголовком «Как я мог сломать все сайты мира», не приложить к этому никаких пруфов и выложить это Хабр.
Было бы странно выдумывать такой текст. Если я приложу в качестве пруфов скриншоты ответов нескольких хостингов (с замазанными названиями), плюс ответ от DirectAdmin, это вас устроит?
> Было бы странно выдумывать такой текст
А что странного? Мотивация понятная, способ прост до безобразия
> это вас устроит?
Если честно, я все еще не понял, почему вы не хотите публиковать названия?
Приложил скриншоты:

> Если честно, я все еще не понял, почему вы не хотите публиковать названия?
Вопрос в следующем: если публиковать названия, то публиковать все. Часть компаний изначально просила это не делать, часть предлагала вознаграждение и просила не раскрывать данные о них. Будет неправильно указать их, но будет неправильно и не указать их (это выглядит, как будто они «откупились»).
Чисто из любопытства. Т.е. деньги таки взяли?
О каком «неправильно» вы говорите? Хостинг не в состоянии закрыть уже известную дыру. Это не необоснованное «они плохие» и даже не один недовольный клиент. По сути всех их клиентов от вас отгораживает только ваша порядочность и они ничего не делают.
Вот сейчас, без названий, это и выглядит как «откупились»
Если говорить честно, то все вознаграждения и программы Bug Bounty — это откуп от хакеров в том или ином виде. Вместо того, чтобы отнести дыру в Яндексе на чёрный рынок, я отношу ее в Яндекс, где получаю деньги (часто меньше, чем мог бы получить с продажи) и спокойствие. Кто-то согласен на публикацию после исправления, кто-то (как некоторые известные банки) считает, что сокрытие факта наличия уязвимости — это одна из целей их Bug Bounty.

По поводу хостингов и откупа: это было бы откупом скорее в том случае, если бы я опубликовал условный список из 50 хостингов, на которых были дыры, плюс приписку, что ещё на 10 они тоже были, но по соглашению публиковать я их не могу.
А я считаю что надо приводить названия хостингов и уязвимости. Потому что сейчас всей полезной информации «я протестировал все хостинги и там все плохо, поэтому когда будете выбирать хостинг — тоже протестируйте все хостинги». А самое главное, что если не будут ломать, то и владельцы хостингов чесаться не будут. Так что пусть лучше уязвимость лежит в открытом доступе и этим хостингом я пользоваться не буду, чем ей пользуется ограниченный круг лиц, а я ее еще и оплачиваю.
Дабы избежать преследования можно привести названия хостингов, где вы НЕ нашли уязвимости =)
В этом случае появятся сомнения в квалификации и непредвзятости автора. Особенно если кто-то другой эти уязвимости там найдет:)
Это будет очень похоже на рекламу)

Плюс, никто не может гарантировать, что на этих хостингах уязвимостей нет.
Уважаемый автор, что же Вас на самом деле сподвигло к 3-годичному анализу порядка 100 хостингов, при этом не имея никакого вознаграждения за свои труды, кроме… возможно… моральной удовлетворенности?
Я думаю, что в момент начала анализа для меня это было довольно интересно. Отдельно стоит заметить, что это потребовало не слишком много времени.
На HostYes была уязвимость?) Они этой весной обновляли панели просто…
Автор молодец, что поискал дыры. Но не публикуя список уязвимых хостингов, делает плохо юзерам. Многие крупные лидеры рынка научились признавать свои баги (хоть и со скрипом), то уж у хостинга корона не свалится. Страна должна знать своих героев, особенно тех, кто игнорит подобные письма. В аду, говорят, для таких свой котел.
Все-таки кажется, что страна должна знать своих героев. Не всех, разумеется, а тех, у кого на момент написания статьи дыры не закрыты, при этом ТП либо не отвечает, либо шлет лесом. Вообще-то хостингам доверяют очень важные данные, и если они не в состоянии эти данные защитить, почему автор должен защищать такие хостинги, скрывая их имена?

Минусовать не намерен, но в текущем виде статья сильно напоминает цитату из Баша, которая применительно к нашему случаю выглядит как «Я обнаружил некую уязвимость, проверил сотню хостингов, почти все были уязвимы, кто-то прикрылся, но до сих пор тысячи сайтов в опасности. У многих хостингов за три года подвижек нет. Я решил не публиковать их список.»
Обычно, если баг нашелся у одной компании, его исправили и заплатили => название компании не публикуется.
Если баг нашелся у одной компании, его не исправили и не заплатили => название компании и баг публикуется, для того чтобы баг был таки закрыт.

Соответственно, если брать обычную этику белых хакеров, то все незакрытые сайты должны быть опубликованы. Собственно, я буду доверять больше тем компаниям, у которых баг уже закрыт.
Абсолютно, согласен.
Соответственно, обращение к автору статьи: общественность очень просит!
Если баг нашелся у одной компании, его не исправили и не заплатили => название компании и баг публикуется, для того чтобы баг был таки закрыт.


Вот железные доводы:

1. Если реальный хакер прочитает данную статью, то ему не составит труда протестировать топ 100 хостингов и воспользоваться дырой.

2. Если вы скрываете название таких компаний — значит поощряете хакеров и подставляете пользователей, т.к. об уязвимости сообщили достаточно информации (для хакера), а о защите — никакой (для пользователя хостинга). Если бы вы не публиковали вообще статью, для пользователей хостингов было бы больше пользы (меньше хакеров решило бы ими заняться).

3. Т.е. раз уж статью для хакеров вы написали (этого уже не исправишь), то либо предоставляете информацию по защите для пользователей (список дырявых компаний), либо можно считать, что вы на темной стороне силы и пытаетесь шантажировать эти самые компании, например, передавая им ссылку на эту самую статью ;)

4. Так что… ждемс.
Если реальный хакер прочитает данную статью, то ему не составит труда протестировать топ 100 хостингов и воспользоваться дырой.

Не в обиду, но что-то мне подсказывает, что реальный хакер знает о CSRF атаках уже лет *цать как.
Хм :) Реальный хакер — это довольно абстрактная формулировка. В данном случае, я под ней имел в виду не супер профессионала, а человека, который действительно не поленится повторить действия описанные в статье на реальном хостинге. То, что профи и спец.службы уже давно юзают все дыры и ежу понятно…

Грубо говоря статья выглядит примерно так: вот есть конкретный способ открыть железную дверь, я попробовал открыть этим способом дверь 100 топ банков и больше половины открылось… хм, вы не знали об этом способе или не думали, что он работает там? ок, теперь знаете.

С точки зрения пользователя хостинга — статья бесполезная страшилка.
С точки зрения «делового» человека не знавшего ранее этот способ или не проверявшего его на хостингах — интереснейшая информация.
Вопрос: Так для кого же эта статья полезна? (С учетом того, что дыры те кому о них сообщили закрывать не думают)
Меня как-то позвала одна веб студия реанимировать сервер с shared хостингом на ISP Lite. Чего там только не было, парочка левых пользователей с root правами, майнер, нагрузка на БД с почти лендинговых страничек. Платный модуль антивирус — нашел кучу зараженных сайтов…
При этом этот сервер жил только пару месяцев. Таки да, КДПВ очень в тему.
Для администрирования и корректировки кода на сайте, по большей части использую веб шелл, тут хостинг на CP DirectAdmin, говорил что у них супер безопасный хостинг, в итоге после некоторых не сложных манипуляций получил доступ к БД всех сайтов, после чего супер безопасный хостинг, брызжил слюнями и чуть не подал в суд, уязвимость им раскрыл, но на сегодняшний день в их случае, она также актуальна, спустя два года…
Хорошая исследовательская работа. Длительная, с вовлечением других лиц, с хорошим рефератом по итогам работы. Спасибо!
Для кого она написана? Для хакеров, админов сайтов или хозяев хостингов? Наука служит всем)
Sign up to leave a comment.

Articles