Hakirana stranica Asocijacije Informatičara u BiH

Kako zaštititi web stranicu od raznih vrsta napada? Ova oblast je namijenjena raznim metodima zaštite podataka na internetu.
14 post(ov)a • Stranica: 1/2.1, 2

Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la WeaVeR » 14 svi 2014, 17:07

Poozdrav za sve forumaše :)
Ovo je moj prvi post na ovom forumu i pošto se bavim pronalaženjem sigurnosnih 'rupa' na web sajtovima i serverima odlučio sam da vam pokažem moje nedavno otkriće.
Skoro sam radio neke testove sigurnosti na stranici Asocijacije Informatičara u Bosni i Hercegovini (http://www.ecdl.ba) i shvatio sam da imaju jako velikih problema što se tiče sigurnosti. Sa par mojih 'trikova' uspio sam ući u admin control panel i mijenjati vijesti, dodavati/brisati administratore itd.
Na istom serveru sam pronašao preko 270 registriranih domena. Što znači da bi zlonamjerni hakeri mogli preuzeti čitav server.
Da biste bolje shvatili o čemu govorim pogledajte video:
https://www.youtube.com/watch?feature=p ... Mqn0zvo5eM

NAPOMENA: Ovo što sam ja uradio je ILEGALNO!!! Ovaj video sam snimio samo da bih pokazao koliko je ugrožena stranica ecdl.ba. Ovaj isiti video sam poslao administratorima kao dokaz. Sad je na njima da li će da poprave sajt ili će ostati ovakav i da čeka neke zlonamjerne hakere da urade neke loše stvari.
Because, Security is Just an Illusion!
slika

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la Armin » 14 svi 2014, 21:32

Fino je vidjet "bijele šešire" na našim područjima :) not bad at all

samo nastavi
"Ne žalim što su drugi pokrali moje ideje. Žalim što nemaju svoje"
Nikola Tesla

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la WeaVeR » 14 svi 2014, 22:33

Armin je napisao/la:Fino je vidjet "bijele šešire" na našim područjima :) not bad at all

samo nastavi


Drago mi je kad neko cijeni moj rad. :) Hvala
Because, Security is Just an Illusion!
slika

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la Tracer » 15 svi 2014, 09:13

Ne vidim niti jedan dokaz da si to baš ti napravio.. Usto, nadam se da nisi, jer tko god da jest vjerojatno će mu policija uskoro kucati na vrata.

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la WeaVeR » 15 svi 2014, 10:16

Tracer je napisao/la:Ne vidim niti jedan dokaz da si to baš ti napravio.. Usto, nadam se da nisi, jer tko god da jest vjerojatno će mu policija uskoro kucati na vrata.

haha =)) I bolje da ne vidiš ni jedan dokaz da sam to ja uradio.
Inače, na raznim forumima i raznim društvenim mrežama koristim razne nickove B-)
A policija ne bi trebala kucati na vrata jer sam obavijestio vlasnike sajta o ovome. Praktički sam im uradio uslugu ;)
Because, Security is Just an Illusion!
slika

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la Tracer » 15 svi 2014, 11:22

WeaVeR je napisao/la:
Tracer je napisao/la:Ne vidim niti jedan dokaz da si to baš ti napravio.. Usto, nadam se da nisi, jer tko god da jest vjerojatno će mu policija uskoro kucati na vrata.

haha =)) I bolje da ne vidiš ni jedan dokaz da sam to ja uradio.
Inače, na raznim forumima i raznim društvenim mrežama koristim razne nickove B-)
A policija ne bi trebala kucati na vrata jer sam obavijestio vlasnike sajta o ovome. Praktički sam im uradio uslugu ;)

Pa slobodno, daj da vidim, ne samo ja već i ostali da vidimo taj dokaz. Svatko je mogao taj video samo tako staviti na forum.

I uradio ti njima uslugu ili ne (ako si već ti u pitanju) za takvo što se ide u zatvor. Sve ovisi hoće li vlasnici site-a to shvatiti kao uslugu ili kriminal.

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la WeaVeR » 15 svi 2014, 15:44

Tracer je napisao/la:Pa slobodno, daj da vidim, ne samo ja već i ostali da vidimo taj dokaz. Svatko je mogao taj video samo tako staviti na forum.

I uradio ti njima uslugu ili ne (ako si već ti u pitanju) za takvo što se ide u zatvor. Sve ovisi hoće li vlasnici site-a to shvatiti kao uslugu ili kriminal.

Okej Traceru, evo ti dokazi! Ne samo tebi nego i svima, da ne pomislite da sam plagijator i da sam uzeo tuđi rad i tako. Mada mi je svejedno šta god mislili, al' et neka vam bude :P

Video:
https://www.youtube.com/watch?v=_IpZJswHpR4

Screenshot:
[Da biste vidjeli cijeli screenshot klinite desnom tipkom miša na sliku pa onda View Image]
slika

Nekoliko informacija o serveru na kojem se nalazi stranica Asocijacije Informatičara u BiH:
IP address: 188.255.140.200


Ovako nešto sam radio i na stranici
Pronašao sam ranjivosti, isto kao i na stranici ecdl.ba, ulogovao se na admin panel koji se nalazi na sljedećem linku: i prijavio administratorima.
Taj video nemam ali imam screenshot:
[Opet desnom tipkom miša kliknite na sliku pa View Image]
slika

Imam i kopiju MySQL baze, to čuvam, možda zatreba nekad :))
Ni oni nisu popravili svoj sajt nego su samo promijenili šifre i promijenili su pravila firewalla tako da ne dopušta nikakve remote komande prema MySQL bazi :(

Eto vam dokazi!!! Hoćete li još šta!!! Možda da vam dam admin šifre pa da i sami čaprkate gdje nije mjesto!!! Ili bi bilo bolje da ovu temu stavim u sekciju "Vjerovali ili ne" :)
Because, Security is Just an Illusion!
slika

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la Tracer » 15 svi 2014, 16:21

WeaVeR je napisao/la:
Tracer je napisao/la:Imam i kopiju MySQL baze, to čuvam, možda zatreba nekad :))
Ni oni nisu popravili svoj sajt nego su samo promijenili šifre i promijenili su pravila firewalla tako da ne dopušta nikakve remote komande prema MySQL bazi :(

Eto vam dokazi!!! Hoćete li još šta!!! Možda da vam dam admin šifre pa da i sami čaprkate gdje nije mjesto!!! Ili bi bilo bolje da ovu temu stavim u sekciju "Vjerovali ili ne" :)

E to je sad već puno konkretnije ;) Iako, ne znam da li da ti čestitiam ili da ti preporučim odvjetnika :D Nego, još si i bazu ukrao? Hm... To sada više nije samo obični računalni kriminal i neovlašten pristup već i krađa podataka.

Ukratko, ti se samo moli da dotični ne odu na policiju jer će ti inače sve ovo prisjesti :) I to govorim baš iz iskustva svog kolege koji je tek došao do ftp pristupa, a kamoli do admin šifre - 2 godine zatvora, uvjetno 5 godina. Vjeruj mi da se više ne smatra toliko cool. A uopće mu to nije trebalo.

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la WeaVeR » 15 svi 2014, 16:35

Tracer je napisao/la:
WeaVeR je napisao/la:
Tracer je napisao/la:Imam i kopiju MySQL baze, to čuvam, možda zatreba nekad :))
Ni oni nisu popravili svoj sajt nego su samo promijenili šifre i promijenili su pravila firewalla tako da ne dopušta nikakve remote komande prema MySQL bazi :(

Eto vam dokazi!!! Hoćete li još šta!!! Možda da vam dam admin šifre pa da i sami čaprkate gdje nije mjesto!!! Ili bi bilo bolje da ovu temu stavim u sekciju "Vjerovali ili ne" :)

E to je sad već puno konkretnije ;) Iako, ne znam da li da ti čestitiam ili da ti preporučim odvjetnika :D Nego, još si i bazu ukrao? Hm... To sada više nije samo obični računalni kriminal i neovlašten pristup već i krađa podataka.

Ukratko, ti se samo moli da dotični ne odu na policiju jer će ti inače sve ovo prisjesti :) I to govorim baš iz iskustva svog kolege koji je tek došao do ftp pristupa, a kamoli do admin šifre - 2 godine zatvora, uvjetno 5 godina. Vjeruj mi da se više ne smatra toliko cool. A uopće mu to nije trebalo.


Svaka škola se plaća pa i ova :P
I ne mislim za sebe da sam cool nego sam jednostavno znatiželjan. A što se tiče krađe podataka, slabim osiguranjem sajta cijela baza je bila izložena javnosti. Ono što je javno nije tajno :P (neznam ima li ikakvog smisla to što sam sad rekao). Svi su to mogli pogledat, čak i obični korisnici samo treba znati gdje i kako tražit :)
Because, Security is Just an Illusion!
slika

Re: Hakirana stranica Asocijacije Informatičara u BiH

PostPostao/la Tracer » 15 svi 2014, 16:43

WeaVeR je napisao/la:Svaka škola se plaća pa i ova :P
I ne mislim za sebe da sam cool nego sam jednostavno znatiželjan. A što se tiče krađe podataka, slabim osiguranjem sajta cijela baza je bila izložena javnosti, svi su to mogli pogledat, čak i obični korisnici samo treba znati gdje i kako tražit :)

Bez obzira na osiguranje site-a, baze i svega ostaloga činjenica je da si ti neovlašteno pristupio i ukrao podatke. To što je njihova zaštita ovakva ili onakva nije nikakva isprika niti će ti to itko na sudu priznati. Oni će možda tek dobiti packu da poprave ili unaprijede zaštitu no i dalje si ti taj koji se odlučio na ilegalne radnje.

Sve u svemu, sretno ti za dalje, ali na tvom mjestu okanio bih se gluposti prije nego nadrapam. I ako si znatiželjan, ganjaj ženske. Primjerice, ja sam definitivno znatiželjan u tom području a da ne moram se bojati zatvora :D


14 post(ov)a • Stranica: 1/2.1, 2

Na mreži

Trenutno korisnika/ca: / i 1 gost.