Взлом обменников

Тема в разделе ".:: Уязвимости", создана пользователем pixelranger, 9 янв 2009.

Статус темы:
Закрыта.
  1. pixelranger

    pixelranger

    Регистр.:
    24 июн 2006
    Сообщения:
    386
    Симпатии:
    117
    Каким частым способом ломают обменники и как уводят деньги? Это общий вопрос, а теперь конкретнее.
    Еслли в обменнике, все курсы и пароли хранятся в файле, а этот файл находится на сервере в папке с правами 100, могут ли как-то к нему получить доступ?
     
  2. RxB

    RxB

    Заблокирован
    Регистр.:
    16 июл 2007
    Сообщения:
    235
    Симпатии:
    51
    1. Обменники ломают теми же способоми что и другие сайты, те же sql-инъекции, инклудинг и спирание сохранённых паролей в ftp-клиентах. Это обсуждалось не раз уже здесь
    2. Если права на файл 100, то это значит что исполнять файл может только владелец, просто так уже не отредактируешь, без смены прав доступа
     
  3. pixelranger

    pixelranger

    Регистр.:
    24 июн 2006
    Сообщения:
    386
    Симпатии:
    117
    1. Да это ясно, я задал вопрос со словом "частым"?
    2. Т.е. залитым шелом нельзя просмотреть файл?
     
  4. 1d37r

    1d37r Читатель

    Заблокирован
    Регистр.:
    16 сен 2007
    Сообщения:
    287
    Симпатии:
    48
    Стоить повысить права в системе до рута и файлик твой
     
  5. pixelranger

    pixelranger

    Регистр.:
    24 июн 2006
    Сообщения:
    386
    Симпатии:
    117
    а хостинг виртуальный, от РБК. Причем на этом аккуанте только обменник, других сайтов нет, которые могли бы быть взломанны.
     
  6. Lonely Wolf

    Lonely Wolf Прохожие

    И это пишет человек, который в соседней теме предлагает услуги аудита.... взлом скрипта через какую-то уязвимость и поднятия прав до рута в системе ой как далеки друг от друга, я бы даже выразился это маленький процент вероятности, без приватных багов в ядре системы или популярном ПО, на хостингах это 1 к 1000 а то и к 10000.
     
  7. 1d37r

    1d37r Читатель

    Заблокирован
    Регистр.:
    16 сен 2007
    Сообщения:
    287
    Симпатии:
    48
    а кто говорит что это занятие для простых пользователей? человек спросил как возможно прочитать файл на который стоят права users, собственно я и ответил
     
  8. B1rdEX

    B1rdEX Постоялец

    Регистр.:
    30 июн 2008
    Сообщения:
    141
    Симпатии:
    26
    Рута ты точно не возьмешь, уверен. РБК - не дети, да и багов в паблике сейчас уже нет..

    Тебе надо достать доступ на этот акк.. так пробуй другие пути - соц инженерия, к примеру. Или поищи бэкапы, на них-то точно права не нужны.
     
  9. jdspb

    jdspb Постоялец

    Регистр.:
    14 мар 2007
    Сообщения:
    117
    Симпатии:
    9
    Ну да, системные бэкапы хранятся с правами пользователей...:D
     
  10. B1rdEX

    B1rdEX Постоялец

    Регистр.:
    30 июн 2008
    Сообщения:
    141
    Симпатии:
    26
    А такого не бывает? Знакомая контора арендует сервер, у них бэкапы лежат, ты не поверишь, с правами на чтение nobody. Ты будешь в шоке - они лежат в директории public_html. Ну и что? Ведь со стороны не видно, что у тебя дырка на трусах, так ведь?
    Бывает всякое (к дырке на трусах тоже относится ;)).
     
Статус темы:
Закрыта.