нашёл пару дырочек в одном сайте позволяющие мне изменять инфу в профилях других пользователей , после немного пошалил доказав что это правда дописав в инфе у главного профиля "передаю привет" , написал лично главным там людям что у них есть бока , после написал на одном форуме ссылку на профиль с подтверждением =) ну чего , дырочки бывают , выгоды я с этого разумно не поимел , ничего не удалял , ущерба нет и т.д вопрос - что мне может быть за то что показательно выявил недочёты в работе сайта ? а то тут некоторые ребята полезли в уголовный кодекс и т.д =))
siiXth нормальные люди за это спасибо должны сказать ничего не попортил, наоборот - сообщил о возможности взлома. уголовный кодекс не учил, не юрист, но логично предположить: - факт взлома - имеется, но нужно доказать, что это было сделано тобой. после этого нужно ещё доказать: - факт вандализма - не имеется - факт кражи информации - не имеется - факт нанесения ущерба - не имеется может быть что-то там ещё есть по уголовному кодексу...
Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. 2. То же деяние, повлекшее по неосторжности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет. С точки зрения юриспруденции — имеют право.
Elkaz, ну тут везде я смотрю обязательным пунктом являются последствия коих нет , так что думаю всё нормально ) goshale, могу сказать что он написан на asp , банальная подмена форм и всё
Вроде если ничего не испортил — можно сказать что ничего не ломал. В любом случае омон пачкаться об это не станет. Если надо похакать по нормальному — ну тут зависит от степени важности похищенного. Могут и найти по айпишнику. Поэтому тру хакер как и тру киллер сделает своё дело в перчатках, с левого ноута через левый вай-фай возле макдональдса, а после этого выкинет ноут на месте преступления
<?=RPG?> дело в том что я и не прячусь , я ведь сам говорю "привет , как дела , нашёл у вас дыры , запилите , поломают" )) сам ведь проекты делаю , вот пробило искать дыры чтобы самому не допускать )
Ну есть категория хакеров которая безвозмездно сливает дыры админам, некоторые за бабки сливают... Да дыры иногда интересно искать. Прикрывать их ещё интереснее — это в общем в последнее время то, чему я довольно много времени уделяю.
ну а я и не хороший =) это и забавно что я ничего не шаря смеюсь когда нахожу подобное в громадных проектах либо в тех которые делали за деньги. я такие ошибки научился давно не допускать , а каким хером они пишут - незнаю. <form name="<user_id>" action="blablabla.aspx"> меняем user_id - я бох что за алгоритм такой ? да и не в алгоритме даже дело , всё что тому aspx приходит - тому он и верит.
Будете писать крупное за деньги — и на вашей улице будет праздник. На вопрос «а что вы предпринимаете для защиты своего проекта от уязвимостей?» как правило и отвечают — я давно научился писать без ошибок. Но попробуйте написать «Войну и мир» без единой помарки. Представили зрелище? Ну так же и со скриптами. Однажды (внезапно) нашел пассивную XSS у себя, хотя до этого лет 5 ни одной ошибки подобной не было. Правда ошибка была очень не очевидной и нужно было устроить корреляцию из нескольких глюков, чтобы проявилась уязвимость. Обычно сложнее, через кукисы надо лезть (их всегда забывают проверять), но тут вам фортануло Ошибка типичная: скрипт идентифицирует пользователя по id, полученному через форму, который фигурирует в скрипте где-то ещё. При удачном стечении обстоятельств id юзера без проблем меняется.
siiXth, чисто юридически, произошла модификация информации, следовательно при желании можно привлечь к ответственности.
Конечно можно. Прям сейчас представляю как заводят уголовное дело на человека, написавшего на заборе ...нет даже не то что вы подумали, что-то безобидное типа "помой меня".
[vs] Да вроде бы вся. Потому что по идее вся информация в сети охраняется авторским правом, даже то что мы сейчас пишем. Чтобы отказаться от авторства есть публичные лицензии. К примеру Creative Commons: http://habrahabr.ru/blogs/creative_commons/106310/
На asp неужели нет функции htmlspecialchars аналогa php.Я уже машинально все переменные так фильтрую ,заодно еще сверху mysql_escape_string или на asp проблема с такими функциями
фак так ? PHP: <? $str="5TihFj+zmvy7+y6y1nySGa"; $str=base64_decode($str); $str = mb_convert_encoding($str, "UCS-2LE", "JIS, eucjp-win, sjis-win"); var_dump($str); ?>