• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Ping

Crianças hackeando servidores

9 mensagens neste tópico

Boas,

Venho aqui postar uma descoberta com a qual fiquei chocado.

O meu primo, de apenas 11 anos (Tendo como sonho ser hacker  :) ) revelou-me uma falha em praticamente todos os sites da internet.

Com esta falha é possivel aceder aos código fonte dos sites, ás base de dados, a ficheiros não publicados, enfim... a tudo o que o site hospeda...

E pode-se considerar um hack tão simples como pesquisar por: "Index of /backup"

E agora é a parte de pedir ajuda

Alguém pode explicar alguma maneira para evitar este tipo de acesso?

É que numa pesquisa bastante simples que fiz, consegui ter acesso a passwords de contas ftp e contas de administração de alguns sites. (Apenas para testar a segurança)

Não considero isto realmente um 'hack' mas é uma grande vulnerabilidade dos sistemas!

Cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sinceramente, duvido muito disso, mas também depende dos sites que experimentaste, e o que é que afinal fazes (já que não disseste)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sinceramente, duvido muito disso, mas também depende dos sites que experimentaste, e o que é que afinal fazes (já que não disseste)

O que faço como?

<EDIT>

Não referindo que na pesquisa, este sistema é tão fácil que até dá para filtrar os resultados  adicionando a extensão do tipo de ficheiro que se procura, por exemplo, sql

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Não considero isto realmente um 'hack' mas é uma grande vulnerabilidade dos sistemas!

Isso não é hack nenhum nem 'grande vulnerabilidade dos sistemas'. É pura e simplesmente bazaroquice/amadorismo/descuido do 'webmaster'.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não é nada de mais, como essa existem milhares de frases que utilizadas num motor de busca podem dar-te imensos resultados de sites mal configurados.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não gosto de responder assim que dá aspecto de me estar a armar em sabichão. Mas qualquer hack só é para levar a sério com uma prova de conceito, tudo o resto tem tanta veracidade como as minhas 150 namoradas suecas.

Quanto à segurança, dependendo do nível de segurança desejado podem ser necessárias tecnicas que requiram conhecimentos vastos e/ou avançados. No fim de contas é sempre uma questão de olhar para um sistema e COM BOM-SENSO, pensar nas possibilidades que um atacante escolheria como porta de entrada.

Um exemplo: Ter um servidor num sitio com a janela aberta é uma falha de segurança já que este é mais facilmente roubado/destruido. Boas janelas são uma boa medida, claro que se o atacante tiver uma bomba atómica não serão suficientes. É uma questão de bom senso.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Hi.

Creio que o Apache deixe a listagem de diretório ativada por padrão. Isto não é bem um perigo, afinal, os scripts php são interpretados server-side. O perigo é quando os programadores utilizam include em arquivos .inc que mostram senha do banco de dados ou alguma outra coisa. (estes sim são exibidos ao cliente)

E agora é a parte de pedir ajuda

Alguém pode explicar alguma maneira para evitar este tipo de acesso?

Crie um arquivo chamado .htaccess no diretório que você deseja proibir a listagem de arquivos. Agora, escreva isso dentro deste arquivo:

Options All -Indexes

Quando alguém tentar listar os arquivos do diretório, o Apache retornará uma mensagem de "Forbidden" (Proibido).  ;)

Primo de 11 anos, muito legal. Eu iniciei no hacking aos 12 e com 13 eu já pegava vários servidores com scanners privates e tal. Atualmente tenho 16, hehe. Se seu primo tem como sonho ser um hacker, é porque ele levará jeito para a coisa.  :P

*Desculpem-me pelo português, sou do Brasil, hehe.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não gosto de responder assim que dá aspecto de me estar a armar em sabichão. Mas qualquer hack só é para levar a sério com uma prova de conceito, tudo o resto tem tanta veracidade como as minhas 150 namoradas suecas.

Talvez até seja mais realista devido à tua proximidade geográfica :D

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora