Как завалить сайт?

Африк Симон     1798

Как завалить сайт? Да очень просто, отвечаем мы. Существуют уязвимости сайта, как считают разработчики — дело тонкое. Многие думают — а ладно и так сойдёт. Подумаешь, где-то ошибка выскакивает, какая-то страничка ложится, а вместе с нею Ваш сайт! Да что там сайт — полная База Данных имён, фамилий, адресов, паспортов и паролей к электронной почте. Наверное, от того что програмерам забывают платить премии или повышать зарплаты. Сидит гном какой-то, дрочит там чего-то за клавиатурой! А человек тоже трудится! Как же оценить его труд? Это же расходная статья! Вот наш ответ. У тех, кого не совсем удачно это складывается — находятся те, кто картину для такой организации могут сделать куда хуже, чем кажется угроза. Не все программисты не видят опасности прямо у себя под носом. Отсутствие банальной фильтрации кавычек в $_GET запросе по передаваемым переменным может поставить сайт раком или получить кое-какие данные, как в случае с union select! Рассмотрим пример, сайт, на asp (то бишь microsoft) практически всегда выдаёт ошибки! Да там можно всё настроить — скажет кто-то! Ну настрой, ну поставь, ну проверь… А пока… Не верите? Начала обращаем внимание на то что ож очень много чего передаётся: protect.gost.ru/v.aspx?control=8&baseC=6&page=0&month=4&year=2010&search=&RegNum=1&DocOnPageCount=15&id=167504&pageK=D131FFCD-B6B4-4656-B4B8-65B8A5E01C90 Год, станица, месяц, контроль, база, поиск… Вот пример завала: protect.gost.ru/v.aspx?control=23348&baseC=3434343434&page=0&month=4&year=2023&search=&RegNum=3453451&DocOnPageCount=134534535&id=167504&pageK=D131FFCD-B6B4-4656-B4B8-65B8A5E01C90 Угадайте? Что я подменил в значении переменных? Верно! Вот страница с ошибкой выданная сервером. Но если покопаться детально, можно понять что передаётся в ошибки, получить название БД, и много другой справочной информации. Вот вам и IIS-сервер! Идём дальше. Рассмотрим пример на php! Вещь. Но, опять — самописные странички, привели к тому, что всё тот же банальный код — не заставил себя долго ждать, а уже через него удалось вычислить ссылку на базу данных mysql в строке. Получаем вход, без логина и пароля: 222.239.79.29//tbl_properties_structure.php?lang=ru-utf-8&server=1&collation_connection=utf8_general_ci&db=youiwe_log&table=hoon_youiwe_co_kr Ву-аля! Будьте внимательнее, когда пишете сайт, учитывая все возможные ошибки, который приводят сами знаете к чему — не санкционированному доступу к информации!

13 thoughts on “Как завалить сайт?

  1. Ребят, подскажите, хочу скачать сайт demo.vetmanager.ru целиком, но не знаю как. Если не сложно, расскажите!

    1. Скачивайте и устанавливайте дистребутив целиком. 1) Ставите Joomla 2) Инсталите по-верх Jommlы — Virtuemart 3) Пропатчивайте Vitrtuemart нашем меню! (родное дебильное ИМХО)

  2. Простите, но я не понял, как это поможет мне скачать всю базу сайта?!

    1. Это же разные вещи: скачать базу — оттуда берёте пароль, расшифровывайте, а дальше уже внедряете на правах админа некий код. При том меняя доступ к самому сайту или перекидываете хостинг.. Но в любом случае это гарантированно работает пару дней… До первого звонка провайдеру с просьбой всё вернуть как было …

  3. Вопрос такого рода: ресурс snaponequipment.com/isc несколько раз проверялся специалистами на уязвимость — «дыр» не обнаружили. А что скажут ваши специалисты? Спасибо!

  4. Организация разместила в своем портфолио мои работы. На звонок — «какое имеете право?» — ответ что хотим, то и имеем… Юридически наказать — в нашем совке -нереально. остается либо физическое воздействие либо помощь по взлому их сайта.
    Помогите.

  6. У меня такое же желание, обворовали и привезли вместо обещанного хлам. Годы трудов и уйма денег ((

  8. Подскажите, сколько может стоить аудит на предмет безопасности и уязвимостей сайта (по типу сайт-визитка). Необходима примерная стоимость, чтобы определиться, стоит ли это того.
    Благодарю за ответ.

Comments are closed.