greu la deal

Zilele trecute căutam pe site-ul unui cunoscut distribuitor de produse IT de pe la noi informații legate de stocuri am dat peste o chestie simpatică rău. Bine, mai întâi m-am distrat că apache-ul lor își lățește frumos toată semnătura pe pagini dar asta a fost o chestie minoră pe lângă faza cu adevărat importantă și haioasă.

Se pare că folosesc un software de evidență a stocurilor sau un soi de ERP care face niște dump-uri/rapoarte într-un director indexat de apache. Care director e lăsat așa la liber să-l vadă tot prostul și să se uite în el. Și găsește și la ce să se uite. Listele cu datornicii, listă cu vânzările realizate, toate la zi. De exemplu de aici putem afla informații haioase cum ar fi faptul că Dante Internațional (eMag) are 45 de zile scadență la facturi. Și putem afla și ce datorii are la zi.

Distrați-vă ! (screenshot făcut înainte de-a pune index.html-ul)

P.S. Am nevoie de un monitor nou. Dacă vă pun un .htaccess și vă ascund semnătura aia nașpa de la apache faceți cinste ? :D

L.E. Au ales calea programatorului leneș și-au pus un index.html gol în folderele respective. Prin urmare nimic vizibil la exterior dar “security by obscurity” e cam de cacao. Have fun !  (ultimele caractere din nume reprezintă data).

L.L.E. More fun de data asta folosind Google.

L.L.L.E În sfârșit au pus un htaccess cu parolă. Bun așa. Acum vă rog eu mult măi băieți să editați și httpd.conf și să modificați linia cu ServerSignature – Off și ServerTokens – Prod. Așa ca să vă faceți treaba până la capăt.

Leave a Reply

24 Comments

  1. bine ca au si un ‘dosar de test’ pe acolo. :))

  2. Of, of, ce rau esti. Nu vezi ca scrie “[beta]” sus in title bar? :D

  3. Meekuu

    O fi site-ul beta da’ documentele alea nu “e” beta.

  4. ahahaha ce sec … fă şi tu un dump şi backup, sau măcar păstrează acolo un sample în caz că-şi repară totuşi ăştia greşeala.

  5. gupi

    le-o fi pus acolo să-;i fac[ ăia de la garda financiară treaba online :p

  6. BORG-ul ala e o oribilitate de cacat de aplicatie scrisa de Transart.

  7. daca le-am facut download, le export intr-un excel si le public, patesc ceva ?

  8. alex

    Tocmai au pus htaccess-ul. Ti-au dat monitorul?
    Fisierele insa sunt in continuare accesibile din browser, daca stii numele lor, au blocat doar afisarea continutului directoarelor.

  9. Septi

    @sin

    @sin
    Vorbesti fara sa stii despre ce vorbesti? Stii pe ce platforma ruleaza B-Org-ul? Linux/apache ha, ha.

  10. Meekuu

    @dAImon
    Există screenshot + dump. Păstrăm…

    @miluch, ah, s-ar putea să te ia la refec din cauză că le copiezi “conținutul”. În rest sunt la fel de publice și la ei acum.

  11. Meekuu

    @alex
    N-au pus .htaccess. Au pus un index.html gol :))

  12. Meekuu

    @Septi

    Dar având în vedere ip-ul de la care ai comentat (Septi – IP: 80.97.64.101 , mail.transart.ro ) nu vrei să ne explici tu de ce face programul vostru dump-urile alea așa direct într-o pagină fără login ceva ?
    Naibii, sunt o grămadă de aplicații făcute pe suport php/web care nu păstrează totuși informațiile în halul ăsta. Până la urmă eu mă luasem de Gemini dar începe să-mi fie frică de faptul că toți cei care folosesc aplicația asta au la fel, fișierele respective stocate online fără absolut nici un fel de protecție.

  13. Septi

    @Meekuu
    B-Org-ul nu e o plicatie WEB (vezi detalii pe site-ul nostru) ci ruleaza pe platforma Windows cu baze de date MS-SQL.
    Acuma daca tot e sa povestim, nu e clar ca aplicatia care face publice datele respective este o aplicatie web? Formatul “bazei de date” care se vede pare sa fie SQL?
    Faptul ca directorul se numeste B-Org se datoreaza probabil faptului ca cel care a facut site-ul la denumit asa.

  14. Mistoc! Uite asa am aflat si io de la cine am cumparat – de fapt – niste mousi saptamana trecuta.

  15. Ultimul folder indicat de alex este in continuare neprotejat…

  16. In cacheul de la google inca sunt accesibile datele. Mistocuţ. :))

  17. Hmmm! Off topic: ai o problema cu cerfeticatul… Se rezolva cu cancel de cateva ori…

  18. Meekuu

    Da, Google iartă da’ nu uită :D

Next ArticleProductun