websites με προβλήματα ασφαλείας

[dbots]

Γεια σας, θα ήθελα τις γνώμες σας για το εξής :
Κάποιες ώρες που είχα ελεύθερες, κάθησα και δοκίμαζα ευπάθειες σε διάφορα websites και έχω βρει ένα κατεβατό από sites που έχουν από απλά προβλήματα, μέχρι κενά ασφαλείας που οδηγούν στην περιοχή διαχείρισης χωρίς κωδικούς admin...
Επικοινώνησα επώνυμα με κάποιους για να τους το αναφέρω και δεν δίνουν σημασία (!)
Εννοείται ότι δεν έχω πειράξει και ούτε θα πειράξω τίποτε από τα sites, η κίνηση έχει κατ'αρχάς ενημερωτικό χαρακτήρα και αν κάποιος θέλει να το αναλάβω επαγγελματικά, τότε το κάνω.
Πώς νομίζετε ότι πρέπει να προσεγγίζονται τέτοιες περιπτώσεις ?

[29gk]

Δεν νομιζω πως μπορεις να κανεις κατι παραπανω περα απο την επωνυμη ειδοποιηση-προταση επιδιορθωσης που εχεις ηδη κανει. Ισως η αδιαφορια των διαχειριστων εχει να κανει με την αγνοια που τους διακατεχει, πχ μπορω να φανταστω πολλες περιπτωσεις ανθρωπων που αγορασαν και χρησιμοποιουν μια σελιδα για επαγγελματικο σκοπο και παρουσιαση της επιχειρησης τους αλλα δεν ενδιαφερονται να πληρωσουν ή να ασχοληθουν παραπανω απο το αρχικο κοστος καθως δεν το θεωρουν απαραιτητο αλλα ουτε και κρισιμο. Στις περιπτωσεις των ιδιωτων παλι, των ανθρωπων δηλαδη που σηκωσαν μια οποιαδηποτε σελιδα, υποθετω πως τα πραγματα ειναι ακομα πιο χαλαρα.

Ενας κινδυνος βεβαια, ειναι η περιπτωση καποιου που θα "στραβωσει". Που θα εκλαβει δηλαδη ενα μηνυμα σου, υποθετω μεσω email, ως απειλητικο ή ως spam. Εκει θελει προσοχη. Αν για παραδειγμα θελεις να πουλησεις μια υπηρεσια, θα πρεπει κατα τη γνωμη μου να αποφυγεις να αναφερεις πως εχεις ηδη σκαναρει την σελιδα και απλα να προσφερεσαι να κανεις εναν πρωτο ελεγχο για αδυναμιες και τρυπες, δωρεαν καταρχην, και με την παραδοση της αναφορας να δινεις και μια τιμη προσφορας για τις επιδιορθωσεις των λαθων που εντοπισες. Να κανεις δηλαδη αυτα που ηδη οπως λες κανεις.

[dbots]

Πάντως μιλάμε για τραγικές καταστάσεις...
Μεγάλα sites με e-shops ή από εταιρίες και καλά ψαγμένες κλπ, αν δοκιμαστούν λίγο βγάζουν μάτι με τα προβλήματα που έχουν. Π.χ. εχω βρει site με e-shop που δίνοντας συγκεκριμένες παραμέτρους στο url αρχίζει και παρουσιάζει τους χρήστες από την περιοχή διαχείρισης, χωρίς να γίνει login από τον admin. Αλλάζοντας το uid 200, 201, 202 κλπ (με GET βέβαια... ούτε καν POST) φαίνονται οι χρήστες ένας-ένας.
Αυτό πόσο παράνομο μπορεί να είναι... Δηλαδή αν αφήνεις την πόρτα του σπιτιού σου όχι μόνο ξεκλείδωτη αλλά και ορθάνοικτη, εγώ φταίω αν περνώντας απ'έξω κοιτώ μέσα ?

Πριν από χρόνια, είχα ελέγξει ένα site κορυφαίας εταιρίας με business θέματα κλπ, και τα πεδία username/passwords που είχε για να γίνεται login ήταν μόνο για να υπάρχουν. Αν π.χ. η αρχική σελίδα ήταν www.aaaaa.gr και ο έλεγχος login γινόταν από το www.aaaaa.gr/1.php, δίνοντας στεγνά στο URL www.aaaaa.gr/2.php (τί πιο λογικό...) έβαζε κατευθείαν στην περιοχή διαχείρισης με admin δικαιώματα. Τους ενημέρωσα, είπαν ότι μπορεί να με κυνηγούσαν, τους είπα ότι δεν έκανα κάτι κακό απλά αυτός που έφτιαξε το site τους ήταν μπάζο και τελικά το γύρισαν ότι θα με αποζημιώσουν για τον χρόνο μου...

Η κατάσταση εξακολουθεί να είναι χάλια σε μεγάλο βαθμό.

[29gk]

.....
Αυτό πόσο παράνομο μπορεί να είναι... Δηλαδή αν αφήνεις την πόρτα του σπιτιού σου όχι μόνο ξεκλείδωτη αλλά και ορθάνοικτη, εγώ φταίω αν περνώντας απ'έξω κοιτώ μέσα ?
........

Ειναι παρανομο. Στον βαθμο που δοκιμαζεις να μπεις και να δεις μεσα. Αν απλα το διαπιστωσεις και φυγεις ή ενημερωσεις τον ιδιοκτητη του "σπιτιου", εχεις κανει το καθηκον σου αλλα οτιδηποτε αλλο, ναι συνιστα παρανομια.

Βεβαια, υπαρχουν και αλλα ζητηματα, οπως για παραδειγμα σε ενα eshop που οφειλει να προφυλασσει και να διαχειριζεται τα προσωπικα δεδομενα των πελατων του ή σε μια σελιδα με εγγραφες στοιχειων χρηστων που και παλι οφειλει να τις προφυλασσει, οπου εκει μπορει μεν εσυ να βρεις τον μπελα σου ή να κατηγορηθεις αλλα θα ζητηθουν ευθυνες και απο τους ιδιοκτητες των σελιδων αν το πραμα διαρρευσει. Το ποιος θα την πληρωσει τελικα, λιγο, πολυ ή καθολου ειναι αλλο ζητημα.