Ir para o conteúdo
Ping

Crianças hackeando servidores

Mensagens Recomendadas

Ping    0
Ping

Boas,

Venho aqui postar uma descoberta com a qual fiquei chocado.

O meu primo, de apenas 11 anos (Tendo como sonho ser hacker  :) ) revelou-me uma falha em praticamente todos os sites da internet.

Com esta falha é possivel aceder aos código fonte dos sites, ás base de dados, a ficheiros não publicados, enfim... a tudo o que o site hospeda...

E pode-se considerar um hack tão simples como pesquisar por: "Index of /backup"

E agora é a parte de pedir ajuda

Alguém pode explicar alguma maneira para evitar este tipo de acesso?

É que numa pesquisa bastante simples que fiz, consegui ter acesso a passwords de contas ftp e contas de administração de alguns sites. (Apenas para testar a segurança)

Não considero isto realmente um 'hack' mas é uma grande vulnerabilidade dos sistemas!

Cumps

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
anolsi    16
anolsi

Sinceramente, duvido muito disso, mas também depende dos sites que experimentaste, e o que é que afinal fazes (já que não disseste)

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Ping    0
Ping

Sinceramente, duvido muito disso, mas também depende dos sites que experimentaste, e o que é que afinal fazes (já que não disseste)

O que faço como?

<EDIT>

Não referindo que na pesquisa, este sistema é tão fácil que até dá para filtrar os resultados  adicionando a extensão do tipo de ficheiro que se procura, por exemplo, sql

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
slack_guy    0
slack_guy
Não considero isto realmente um 'hack' mas é uma grande vulnerabilidade dos sistemas!

Isso não é hack nenhum nem 'grande vulnerabilidade dos sistemas'. É pura e simplesmente bazaroquice/amadorismo/descuido do 'webmaster'.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
skin    0
skin

Não é nada de mais, como essa existem milhares de frases que utilizadas num motor de busca podem dar-te imensos resultados de sites mal configurados.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
pedrotuga    31
pedrotuga

Não gosto de responder assim que dá aspecto de me estar a armar em sabichão. Mas qualquer hack só é para levar a sério com uma prova de conceito, tudo o resto tem tanta veracidade como as minhas 150 namoradas suecas.

Quanto à segurança, dependendo do nível de segurança desejado podem ser necessárias tecnicas que requiram conhecimentos vastos e/ou avançados. No fim de contas é sempre uma questão de olhar para um sistema e COM BOM-SENSO, pensar nas possibilidades que um atacante escolheria como porta de entrada.

Um exemplo: Ter um servidor num sitio com a janela aberta é uma falha de segurança já que este é mais facilmente roubado/destruido. Boas janelas são uma boa medida, claro que se o atacante tiver uma bomba atómica não serão suficientes. É uma questão de bom senso.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
fvox    0
fvox

Hi.

Creio que o Apache deixe a listagem de diretório ativada por padrão. Isto não é bem um perigo, afinal, os scripts php são interpretados server-side. O perigo é quando os programadores utilizam include em arquivos .inc que mostram senha do banco de dados ou alguma outra coisa. (estes sim são exibidos ao cliente)

E agora é a parte de pedir ajuda

Alguém pode explicar alguma maneira para evitar este tipo de acesso?

Crie um arquivo chamado .htaccess no diretório que você deseja proibir a listagem de arquivos. Agora, escreva isso dentro deste arquivo:

Options All -Indexes

Quando alguém tentar listar os arquivos do diretório, o Apache retornará uma mensagem de "Forbidden" (Proibido).  ;)

Primo de 11 anos, muito legal. Eu iniciei no hacking aos 12 e com 13 eu já pegava vários servidores com scanners privates e tal. Atualmente tenho 16, hehe. Se seu primo tem como sonho ser um hacker, é porque ele levará jeito para a coisa.  :P

*Desculpem-me pelo português, sou do Brasil, hehe.

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
_JR_    4
_JR_

Não gosto de responder assim que dá aspecto de me estar a armar em sabichão. Mas qualquer hack só é para levar a sério com uma prova de conceito, tudo o resto tem tanta veracidade como as minhas 150 namoradas suecas.

Talvez até seja mais realista devido à tua proximidade geográfica :D

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora


×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade