Jump to content
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

Ping

Crianças hackeando servidores

Recommended Posts

Ping

Boas,

Venho aqui postar uma descoberta com a qual fiquei chocado.

O meu primo, de apenas 11 anos (Tendo como sonho ser hacker  :) ) revelou-me uma falha em praticamente todos os sites da internet.

Com esta falha é possivel aceder aos código fonte dos sites, ás base de dados, a ficheiros não publicados, enfim... a tudo o que o site hospeda...

E pode-se considerar um hack tão simples como pesquisar por: "Index of /backup"

E agora é a parte de pedir ajuda

Alguém pode explicar alguma maneira para evitar este tipo de acesso?

É que numa pesquisa bastante simples que fiz, consegui ter acesso a passwords de contas ftp e contas de administração de alguns sites. (Apenas para testar a segurança)

Não considero isto realmente um 'hack' mas é uma grande vulnerabilidade dos sistemas!

Cumps


P S I K U L A  M E M B E R

Share this post


Link to post
Share on other sites
anolsi

Sinceramente, duvido muito disso, mas também depende dos sites que experimentaste, e o que é que afinal fazes (já que não disseste)


"Nós somos o que fazemos repetidamente, a excelência não é um feito, e sim, um hábito."
Não respondo a questões por PM que possam ser colocadas no fórum!

Share this post


Link to post
Share on other sites
Ping

Sinceramente, duvido muito disso, mas também depende dos sites que experimentaste, e o que é que afinal fazes (já que não disseste)

O que faço como?

<EDIT>

Não referindo que na pesquisa, este sistema é tão fácil que até dá para filtrar os resultados  adicionando a extensão do tipo de ficheiro que se procura, por exemplo, sql


P S I K U L A  M E M B E R

Share this post


Link to post
Share on other sites
scorch

Para hackar os sites?


scorch_pp.png

PS: Não respondo a perguntas por mensagem que podem ser respondidas no fórum.

Share this post


Link to post
Share on other sites
slack_guy
Não considero isto realmente um 'hack' mas é uma grande vulnerabilidade dos sistemas!

Isso não é hack nenhum nem 'grande vulnerabilidade dos sistemas'. É pura e simplesmente bazaroquice/amadorismo/descuido do 'webmaster'.


:q :q! :wq :w :w! :wq! :quit :quit! :help help helpquit quit quithelp :quitplease :quitnow :leave ^X^C ^C ^D ^Z ^Q QUITDAMMIT

Share this post


Link to post
Share on other sites
skin

Não é nada de mais, como essa existem milhares de frases que utilizadas num motor de busca podem dar-te imensos resultados de sites mal configurados.


Our lives begin to end the day we become silent about things that matter - Martin Luther King

Share this post


Link to post
Share on other sites
pedrotuga

Não gosto de responder assim que dá aspecto de me estar a armar em sabichão. Mas qualquer hack só é para levar a sério com uma prova de conceito, tudo o resto tem tanta veracidade como as minhas 150 namoradas suecas.

Quanto à segurança, dependendo do nível de segurança desejado podem ser necessárias tecnicas que requiram conhecimentos vastos e/ou avançados. No fim de contas é sempre uma questão de olhar para um sistema e COM BOM-SENSO, pensar nas possibilidades que um atacante escolheria como porta de entrada.

Um exemplo: Ter um servidor num sitio com a janela aberta é uma falha de segurança já que este é mais facilmente roubado/destruido. Boas janelas são uma boa medida, claro que se o atacante tiver uma bomba atómica não serão suficientes. É uma questão de bom senso.

Share this post


Link to post
Share on other sites
fvox

Hi.

Creio que o Apache deixe a listagem de diretório ativada por padrão. Isto não é bem um perigo, afinal, os scripts php são interpretados server-side. O perigo é quando os programadores utilizam include em arquivos .inc que mostram senha do banco de dados ou alguma outra coisa. (estes sim são exibidos ao cliente)

E agora é a parte de pedir ajuda

Alguém pode explicar alguma maneira para evitar este tipo de acesso?

Crie um arquivo chamado .htaccess no diretório que você deseja proibir a listagem de arquivos. Agora, escreva isso dentro deste arquivo:

Options All -Indexes

Quando alguém tentar listar os arquivos do diretório, o Apache retornará uma mensagem de "Forbidden" (Proibido).  ;)

Primo de 11 anos, muito legal. Eu iniciei no hacking aos 12 e com 13 eu já pegava vários servidores com scanners privates e tal. Atualmente tenho 16, hehe. Se seu primo tem como sonho ser um hacker, é porque ele levará jeito para a coisa.  :P

*Desculpem-me pelo português, sou do Brasil, hehe.


"Strength of the world, the one true beholder...Ice in my veins, for those who've died."

Share this post


Link to post
Share on other sites
_JR_

Não gosto de responder assim que dá aspecto de me estar a armar em sabichão. Mas qualquer hack só é para levar a sério com uma prova de conceito, tudo o resto tem tanta veracidade como as minhas 150 namoradas suecas.

Talvez até seja mais realista devido à tua proximidade geográfica :D

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.