сайта на нап

Maverick

Well-Known Member
От: сайта на нап

Не, казаха че нямат регистриран пробив. :)
 
От: сайта на нап

Днес по подобен начин "инжектираха" сайтовете на МОН, МВР. Възниква въпросът #кой?, как и за колко държавни пари ги е правил :)
 
От: сайта на нап

Значи казваш, че възможността всеки да "търси" изображения, ифреймове и вероятно и скрпитове, които после може да препраща по имейли с линк "nap.bg", а и да стават за смях не е пробив в сигурността?
И то сайт, вероятно струващ 6 цифрена сума, един wordpress го няма това...


И са прави.
Днес всеки бързаше да се изфука къде със сайта на НАП, къде със сайта на МВР, чак смешни станаха. Горе долу това беше положението:
http://nap.bg/search?searchElements...m/instances/400x/49878534.jpg"+/>&searchDate=
 
От: От: сайта на нап

Значи казваш, че възможността всеки да "търси" изображения, ифреймове и вероятно и скрпитове, които после може да препраща по имейли с линк "nap.bg" и да стават за смях не е пробив в сигурността?

Пълен т***к :oops:
 
От: От: сайта на нап

Значи казваш, че възможността всеки да "търси" изображения, ифреймове и вероятно и скрпитове, които после може да препраща по имейли с линк "nap.bg", а и да стават за смях не е пробив в сигурността?
И то сайт, вероятно струващ 6 цифрена сума, един wordpress го няма това...

Силно пресилено, верно за майтап става но до там.
 
От: сайта на нап

Последно - това хакване ли е или не?
Според мен не, но въпреки това по националната телевизия говорят за хакване. А не говорят за фирмата която поддържа тези сайтове и е допуснала такава елементарна грешка.
Говорят, че е било качено нещо - първо не е качено нищо, а то се зарежда от външен ресурс. И второ - за да достъпиш до него (до хакнатия сайт на дадена институция) трябва да ползваш специален урл (като този в първия пост) за да извикаш външния ресурс който се изобразява в сайта на институцията.
 
От: От: сайта на нап

Последно - това хакване ли е или не?
Според мен не, но въпреки това по националната телевизия говорят за хакване. А не говорят за фирмата която поддържа тези сайтове и е допуснала такава елементарна грешка.
Говорят, че е било качено нещо - първо не е качено нищо, а то се зарежда от външен ресурс. И второ - за да достъпиш до него (до хакнатия сайт на дадена институция) трябва да ползваш специален урл (като този в първия пост) за да извикаш външния ресурс който се изобразява в сайта на институцията.

Да, това е хакване, но не по начина които е показан по-горе(не със зареждане на хтмл). Уязвимостта се нарича XSS, и идеята е да се изпълни JavaScript код, които да краде кукито на този, които го отвори.

Но реално като гледам, в сайта няма регистрации, така че не е чак такъв пробив. Може би ако някак си се намери админ-а на сайта, той е логнат и му се прати урл с javascript, които да краде кукито, ще може да се получи достъп до админ панел. Но като цяло ще е трудно.
 
От: От: сайта на нап

Да, това е хакване, но не по начина които е показан по-горе(не със зареждане на хтмл). Уязвимостта се нарича XSS, и идеята е да се изпълни JavaScript код, които да краде кукито на този, които го отвори.

Но реално като гледам, в сайта няма регистрации, така че не е чак такъв пробив. Може би ако някак си се намери админ-а на сайта, той е логнат и му се прати урл с javascript, които да краде кукито, ще може да се получи достъп до админ панел. Но като цяло ще е трудно.

И "админа" е ограничен по ип и си до там.
 
От: От: сайта на нап

Да, това е хакване, но не по начина които е показан по-горе(не със зареждане на хтмл). Уязвимостта се нарича XSS, и идеята е да се изпълни JavaScript код, които да краде кукито на този, които го отвори.

Но реално като гледам, в сайта няма регистрации, така че не е чак такъв пробив. Може би ако някак си се намери админ-а на сайта, той е логнат и му се прати урл с javascript, които да краде кукито, ще може да се получи достъп до админ панел. Но като цяло ще е трудно.

Според мен не трябва да се използва "хакване" по националните ТВ където 90% са простаци на тази тема.
Терминът "хак" е придобил много широк смисъл и не означава непременно злонамерен акт на пробив.

В случая няма пробив на системата, а използване без злонамерени цели пропуск в системата. По БНТ казаха, че "хакери качили снимка/колаж за оставката на цацаров в сайта на мвр" - дебили ли са тези от бнт или да?
първо тази картинка може да е всякаква и може да бъде поставена от всеки - т.е. не ти трябва да си хакер.

Това, че във фейсБОКЛУК този линк е станал най-известен, не означава, че това показва как системата е хакната. :mad: :mad: :cry:
 
От: От: сайта на нап

И "админа" е ограничен по ип и си до там.

Обяснявам идеята на XSS атаката, много ясно, че има различни техники за защита.
Въпреки това, при положение, че имат такава нелепа уязвимост в сайта, едва ли ще имат ограничение по ип.
 
От: сайта на нап

Ето точно това което исках да кажа и в по-горните постове - http://www.webcafe.bg/webcafe/onya-...8526306_Internet_apokalipsisat_se_okaza_mente

аз съм напълно шокиран как може медиите да са толкова неграмотни, особено БНТ

даваха няколко минутен репортаж в централната емисия в която за 10 сек казаха това което цитирах по-горе, а през останалите минути говореха за хакерите като цяло и как може да използват нашите компютри за "хакване" без дори да знаем!

Толкова ли е прост народът? и ако да - защо се чудим, че не върви с нормална скорост? Колкото по-прост е един човек, толкова повече не вярва в това (доказано е от учени). като народ явно сме мнООоого прости :(
 
Последно редактирано:

Горе