WebDev, блин

18th February 2004 - 23:25

В свободное время изучаю исходники одного «сайтика».

Есть сайт example.com, а его уеб-мастер развлекается по адресу webdev.example.com. Вот на этот самый webdev и получилось пробраться; правда, только по HTTP. Ну да не беда, там есть архивы с занятными именами 'website.zip' и доступ к запуску WebExplorer. Заходитя, люди добрыя, беритя кто чиво хотит.

Честно говоря, мне бы и в голову не пришло делать какие-либо проверки на возможность приобретения такого экскурсионного билета, просто один из серверов даёт ссылку на телефонный справочник, при работе с которым взгляд цепляется за интересные цифры в адресной строке браузера (порт) и надпись «в стадии тестирования». Никакого специального хакирского ПО, достаточно удалить пару-тройку ненужных символов из адреса. Вуаля, содержимое папки в вашем распоряжении. Лично мне было интересно посмотреть начинку, для людей же сведущих — развлечение, не более того. В самом деле, ну что интересного можно найти на таких сайтах (includes Ашманова наверняка были круче :]).

Обычно подобные алиасы используют для тестирования работоспособности скриптов основного сайта. Помимо самих скриптов там же может находиться конфиденциальная информация. Например, XML-файл с данными клиентов (пароли, адреса, явки; когда уже есть данные, то писать отдельный файл для тестирования лень). Возникает следующий вопрос: если благодаря безалаберности админа я скачал подобную информацию, то могу ли я прямым текстом посылать товарищей в сад в случае наездов с их стороны? Вариант приезда двух шкафчиков под два метра «поболтать» в расчёт не берём (хочется пофантазировать).

Давать ссылки на (не побоюсь этого слова) ресурс, использовать попавшую мне в руки информацию в корыстных целях или заниматься другими глупостями я не намерен. Просто интересно, где грань?

  • 1: увидел, закрыл браузер, написал админу;
  • 2: увидел, погостил, закрыл, написал;
  • N: x, y, z.

PS. Если погуглить тему «Written by Sune Alexandersen», «WebExplorer», etc., то можно найти забавные вещи; люди до сих пор роботов в phpMyAdmin пускают.

Categories: Web-билдинг | comments: (5)

Комментарии

1. РезиновыйЗапаЛ 19th February 2004 - 01:07

Правильно — «увидел, погостил, закрыл, написал»
Через час вспомнил, что делал, почистил кэш браузера, порезал реестр, переустановил операционку, подумал и отформатировал винт. После этого с чистой совестью лег спать :)

Mash:

Сбегал к админу, отвлёк его пивом, почистил логи сервера.

2. РезиновыйЗапаЛ 19th February 2004 - 01:38

Точно-точно.
Хороший хак, хорошее пиво, зазевавшийся админ.
Чего еще для приятного времяпровождения надо?

Кстати, меня грохнули на Спектаторе. Допипикал.

И вот еще, по житейски. Может и не надо говорить, но ты о бабушке сотри тему. Пусть это про себя останется. Извини, если обидел. Просто у меня подобное было 10 лет назад.

Mash:

>> Допипикал.

Постарался. :)

>> И вот еще, по житейски.

У меня немного другой взляд, но отчасти ты прав, наверное всё-таки не надо было… Было впечатление, хотелось лишний раз напомнить себе и окружающим, что иногда люди уходят и не всегда мы успеваем сказать им «прощай». Но это бесполезно.

Со мной останется то, что должно остаться. Писал я об этом или не писал.

3. witness 19th February 2004 - 23:05

На Украине, по УК, дают по статье «несанкционированный доступ к информации».
Дырку нашел — ничего не будет.
А вот если зашел, и смотрел, хоть дерево каталогов — может и не повезти.

А, если сканил кого не надо — подпадаешь под «нарушение работоспособности информационных систем».
- обычно если сканишь «кого не надо» — приедут на утро.

Mash:

>> Дырку нашел — ничего не будет.
А вот если зашел, и смотрел, хоть дерево каталогов — может и не повезти.

У меня было два варианта: либо увидеть дерево каталогов, либо удостовериться, что доступ невозможен. Получается, что лучше всего вообще не трогать URL’ы. Ведь есть вероятность увидеть каталоги даже по адресу http://example.com ;)

>> обычно если сканишь «кого не надо» — приедут на утро

Это да.

4. ganges 20th February 2004 - 15:38

Такая ерунда — сплошь и рядом бывает. Я как-то и не задумывался о том, что да — на украине подобный просмотр подпадает под совершенно конкретную статью, но
закрыть по ней достаточно сложно с вменяемым адвокатом
так что я за то, чтобы увидел -погостил и написал :) смех только в том, что в подавляющем большинстве случаев там ненужный тебе noise

Mash:

Главное, чтобы на стадии «написал» админ сей сокровищницы не начал выступать. С хорошим адвокатом можно от многих вещей отвертеться. Деньги, время, нервы.

>> …ненужный тебе noise

Бывают редкие исключения. :)

5. Clyde 21st February 2004 - 00:35

Я правильно понял — WebExplorer — это аналог отечественного phpRemoteView?

И ещё, не в тему. Помнится, автор Данил искал подходящую cms. На этом сайте собрано штук 40 cms'ов, все установлены. Прямо с сайта можно зайти под демо-входом в любую из них и сделать соответствующие выводы.

Mash:

1. Правильно.

2. Искал. Там есть ссылка на этот сайт, но всё равно спасибо.

Комментарии временно отключены.