WebDev, блин
В свободное время изучаю исходники одного «сайтика».
Есть сайт example.com, а его уеб-мастер развлекается по адресу webdev.example.com. Вот на этот самый webdev и получилось пробраться; правда, только по HTTP. Ну да не беда, там есть архивы с занятными именами 'website.zip' и доступ к запуску WebExplorer. Заходитя, люди добрыя, беритя кто чиво хотит.
Честно говоря, мне бы и в голову не пришло делать какие-либо проверки на возможность приобретения такого экскурсионного билета, просто один из серверов даёт ссылку на телефонный справочник, при работе с которым взгляд цепляется за интересные цифры в адресной строке браузера (порт) и надпись «в стадии тестирования». Никакого специального хакирского ПО, достаточно удалить пару-тройку ненужных символов из адреса. Вуаля, содержимое папки в вашем распоряжении. Лично мне было интересно посмотреть начинку, для людей же сведущих — развлечение, не более того. В самом деле, ну что интересного можно найти на таких сайтах (includes Ашманова наверняка были круче :]).
Обычно подобные алиасы используют для тестирования работоспособности скриптов основного сайта. Помимо самих скриптов там же может находиться конфиденциальная информация. Например, XML-файл с данными клиентов (пароли, адреса, явки; когда уже есть данные, то писать отдельный файл для тестирования лень). Возникает следующий вопрос: если благодаря безалаберности админа я скачал подобную информацию, то могу ли я прямым текстом посылать товарищей в сад в случае наездов с их стороны? Вариант приезда двух шкафчиков под два метра «поболтать» в расчёт не берём (хочется пофантазировать).
Давать ссылки на (не побоюсь этого слова) ресурс, использовать попавшую мне в руки информацию в корыстных целях или заниматься другими глупостями я не намерен. Просто интересно, где грань?
- 1: увидел, закрыл браузер, написал админу;
- 2: увидел, погостил, закрыл, написал;
- N: x, y, z.
PS. Если погуглить тему «Written by Sune Alexandersen», «WebExplorer», etc., то можно найти забавные вещи; люди до сих пор роботов в phpMyAdmin пускают.
Categories: Web-билдинг | comments: (5)
Комментарии
1. РезиновыйЗапаЛ 19th February 2004 - 01:07
Правильно — «увидел, погостил, закрыл, написал»
Через час вспомнил, что делал, почистил кэш браузера, порезал реестр, переустановил операционку, подумал и отформатировал винт. После этого с чистой совестью лег спать :)
Mash:
Сбегал к админу, отвлёк его пивом, почистил логи сервера.
2. РезиновыйЗапаЛ 19th February 2004 - 01:38
Точно-точно.
Хороший хак, хорошее пиво, зазевавшийся админ.
Чего еще для приятного времяпровождения надо?
Кстати, меня грохнули на Спектаторе. Допипикал.
И вот еще, по житейски. Может и не надо говорить, но ты о бабушке сотри тему. Пусть это про себя останется. Извини, если обидел. Просто у меня подобное было 10 лет назад.
Mash:
>> Допипикал.
Постарался. :)
>> И вот еще, по житейски.
У меня немного другой взляд, но отчасти ты прав, наверное всё-таки не надо было… Было впечатление, хотелось лишний раз напомнить себе и окружающим, что иногда люди уходят и не всегда мы успеваем сказать им «прощай». Но это бесполезно.
Со мной останется то, что должно остаться. Писал я об этом или не писал.
3. witness 19th February 2004 - 23:05
На Украине, по УК, дают по статье «несанкционированный доступ к информации».
Дырку нашел — ничего не будет.
А вот если зашел, и смотрел, хоть дерево каталогов — может и не повезти.
А, если сканил кого не надо — подпадаешь под «нарушение работоспособности информационных систем».
- обычно если сканишь «кого не надо» — приедут на утро.
Mash:
>> Дырку нашел — ничего не будет.
А вот если зашел, и смотрел, хоть дерево каталогов — может и не повезти.
У меня было два варианта: либо увидеть дерево каталогов, либо удостовериться, что доступ невозможен. Получается, что лучше всего вообще не трогать URL’ы. Ведь есть вероятность увидеть каталоги даже по адресу http://example.com ;)
>> обычно если сканишь «кого не надо» — приедут на утро
Это да.
4. ganges 20th February 2004 - 15:38
Такая ерунда — сплошь и рядом бывает. Я как-то и не задумывался о том, что да — на украине подобный просмотр подпадает под совершенно конкретную статью, но
закрыть по ней достаточно сложно с вменяемым адвокатом
так что я за то, чтобы увидел -погостил и написал :) смех только в том, что в подавляющем большинстве случаев там ненужный тебе noise
Mash:
Главное, чтобы на стадии «написал» админ сей сокровищницы не начал выступать. С хорошим адвокатом можно от многих вещей отвертеться. Деньги, время, нервы.
>> …ненужный тебе noise
Бывают редкие исключения. :)
5. Clyde 21st February 2004 - 00:35
Я правильно понял — WebExplorer — это аналог отечественного phpRemoteView?
И ещё, не в тему. Помнится, автор Данил искал подходящую cms. На этом сайте собрано штук 40 cms'ов, все установлены. Прямо с сайта можно зайти под демо-входом в любую из них и сделать соответствующие выводы.
Mash:
1. Правильно.
2. Искал. Там есть ссылка на этот сайт, но всё равно спасибо.