Súlyos sebezhetőség az Independence-en

Nah, ezzel már nekem nem lesz gondom, acc törölve 😛
Most biztos az jön a spam hegyek, aztán 2 hét múlva lecseng.
Mióta indipendencen fennt voltam 3x annyit kaptam, mint előtte. Ezzel lett tele a f@szom.
Meg azzal h minden fent van 325ször, de sose találtam semmit ami érdekelt.

A legegyszerűbb módja h a fórumban elkezded fikázni az oldalt és kéred, h töröljenek, lehetőleg a “moderátorok figyelmébe” (vagy valami hasonló neve van) topicba.
Nekem bejött 😀

Persze hogy bent marad!

Chamea: egy _sql injection_ aprosag? O_O tipikusan olyan hiba, ami figyelmetlensegbol vagy hozzanemertesbol adodik. szerintem igencsak _sulyos hiba_, attol fuggetlenul, milyen meretu oldalon van jelen. csupan etika kerdese kihasznalni, vagy sem..

Hát igen, így jár az aki microsoft operációs rendszer alatt MS SQL-el próbálkozik. Ilyen hiba figyelmetlenség? Szerintem az, aki működtette az oldalt, pont épp olyan volt, aki nagyot akart kaszállni a támogatásokból beruházás nélkül, pont az ilyenek fikázzák az ncore-t, a bh-t meg moobsot. Gyerekek, egy szerver üzemeltetéséhez fel kellene nőni, az nem kevés pénz. Nem abból áll ez, hogy a BIX-be bedobok egy ms xp-vel és egy ms sql-el, meg egy rátelepített php apache webszerver emulációval egy gépet és kész. Pont ezért kell az ncore-n is az adminoknak beruházniuk. Ezek azok a kiadások még mindig kedves Feree, amiket mindenképp bele kell fektetni, első a beruházás. Ezt nem tudtad? Még mindig az az álláspontom, hogy egy piti kis pocs szórakozik veletek, aki nevet rajtatok, a nem hozzáértésetekből milyen hibákat tudtok produkálni. Nem lehúzás a nyereményjáték meg a támogatás a nagyobb oldalakon, hanem beruházás, pont az ilyenek kiküszöbölésére, mert egy biztonságosabb rendszer kiépítése is rengetegbe kerül. Linux programozó sem dolgozik ingyen, windows alatt meg ilyet üzemeltetni MS sql-el életveszély.

Még 1x hogyan tudom magam törölni Independence-ről??? (ne cenzúrázzátok ki!)

Egy barátom fogalmazott így: Ami nem törhető, nem létezik 🙂

Chamea: Te ritka nagy balfasz vagy. Egy sql injectionnek mi köze van a windowshoz vagy az mssql-hez? Azon is jót röhögtem, hogy ezeket életveszély használni:))) És még te beszélsz hozzánemértésről….

Ja és az általad említett összes oldalba van hiba, illetve az ncore-on nem tudom hogy még van e, de hónapokig kihasználható volt.

ui.: semmi közöm az indep-hez, csak felbasz az okoskodásod.

minden törhető, csak az nem mindegy, hogy ki és mennyi ember számára 🙂

“Chamea: Te ritka nagy balfasz vagy. Egy sql injectionnek mi köze van a windowshoz vagy az mssql-hez? Azon is jót röhögtem, hogy ezeket életveszély használni:))) És még te beszélsz hozzánemértésről….

Ja és az általad említett összes oldalba van hiba, illetve az ncore-on nem tudom hogy még van e, de hónapokig kihasználható volt.

ui.: semmi közöm az indep-hez, csak felbasz az okoskodásod.”

Korulbelul en is ezt akartam beirni :-DDD

Hi mindenkinek. 🙂 Kérdésem. A 1sttorrent sem működik már legalább három napja. Arról az oldalról ti mit tudtok??? Azt is feltörték?

A 1st-t az elmúlt három napban is ment és most is megy… Nálad/szolgáltatódnál lehet a hiba oka…

1st-nek kéne már egy normális domain, mondjuk egy .biz tld nem ártana…
1st.biz ;]

Köszi mindenkinek. 😀

@Override, csak tájékoztatlak, hogy a BSA ott tart a hatóságokkal, hogy rendel tőled, megcsinálod illegálisan a számítógépét, majd fizet neked, utána meg jön a rendőrökkel. Az az ember, akit a kormány hatósági szervei bíztak meg valamivel, azok bármit megcsinálhatnak. Nagyon tévedésben vagy, a ProArt a kirendelt szakértőjével a DC hubról töltögetett, mint az atomnyuszi és jelentgette fel a felhasználókat. -> “@Chamea: Szerinted melyik állami szerv használhat illegálisan (sql injection-al) szerzett bizonyítékot?? pff…”

@BoNo, @Klarybaba , én nem azt írtam, hogy ő kerülhet bajba, hanem mi, mint kis halak. Ránk is ránk szállhat a hatóság, sajnos.

@Chamea: nehez elmenni melletted.
Sok okorseget hoztal ossze szakmai oldalrol(olvass mar utana, hogy mijaza sql injection, az osszes sql servernel letezhet, nem rajta mulik, ms fejlesztokben a fele haladnak, hogy programozasi nyelv szinten legyenek az sql utasitasok is, es igy mindent szepen at ad, nem tudod tamadni), amit utana irsz annak nehezen adok hitelt a korabbiak miatt. Nem szivesen mennek bele, hogy BSA/asva/PRoart es tarsai miket csinalhatnak, mert ezek csak talalgatasok maradnanak.

Megjegyeznem azt is, mivel apachet hasznalsz valami sqllel, aztan tok mind1, hogy az milyen platformon van, nem talalkoztam meg phpnal platform specifikus hibaval. De talalkoztam 40millio forintos ugyviteli rendszerrel, amit windows xp/oracle -re akartak folrakni.

Majd elfelejtettem:
Magában az XBT Tracker-ben is került már elő ismert sebezhetőség.

@pistv, te meg egyértelműen támadod az ncore staffját. Ezt nem ide kellene kihozni, hanem talán az ncore-n belül kellene neki pm-et dobni és tisztázni a nézeteltéréseiteket, mert a hozzászólásaid nem független hozzászólások. Arra, hogy mi a véleményed az ncore adminjairól meg staffjairól illetve moderátorairól, arra abszolút de senki sem kíváncsi itt az oldalon, elhiszed?

@Chamea: “Egyik haverom osztálytársa BSA-s….” jah nálunk az oviban is toboroztak… pff….

Egyébként amit írtál azt úgy hívják, hogy próbavásárlás és teljesen legális, az SQL injection viszont nem az, ugyanis azt sem tudod ilyenkor garantálni, hogy honnan szerezted az infót, ugyanis írhatnék én olyan alkalmazást ami figyeli a get-ből, post-ból (UI-ról) érkező változókat és ha van benne ‘ vagy ” vagy 1=1 akkor egy kamu listát adok vissza, ezt vajon a haverod BSA-s osztálytársa hogy fogja bizonyítani???

@Everest, az amit leírtál, az nem teljesen valós. Ezek a folyamatok úgy működnek, hogy a szoftverforgalmazó cég egyik alkalmazottja, aki tagja a BSA-nak(pl Adobe), hozzájut egy torrent acchoz valamilyen úton->maga a cég továbbítja a BSA felé->BSA továbbítja vizsgálat után a rendőrség felé, azzal a fényképpel, amivel igazolják, hogy az illegális anyag ott van, kint a letölthető torrentek között és egyúttal együttműködési kérelmet nyújtanak be a hatóság felé az informatikai szakértőjükről, hogy legális próbaletöltést tarthassanak->rendőrség vizsgálat után, miután megállapította, hogy fent van a torrent, és feltételezhetően illegális anyag cseréje folyik illegálisan(Mivel a szoftver le és feltöltése egyaránt bűncselekmény a mai törvények szerint), megküldi az erre való PARANCSOT->A szakértő letölti a torrentet és közben rögzíti az IP-ket, egyúttal megállapítja, hogy valóban illegális anyag van megosztva, de csak azok IP-it látja, akik éppen hozzá vannak csatlakozva, azokét nem, akik a peerguardiant használják. Na most, ha hozzáfér a Scrape adatokhoz, azokét is látja a rendőrpalotából, akik peerguardiant használnak, vagy valamilyen utómódon nem tudtak hozzá csatlakozni, sőt, még azt is, hogy kik töltötték le a torrentet. Ez elég bizonyíték bűncselekmény esetén, de te csak filozofálgass nyugodtan!

k0cka, pontosan ezt írom itt már időtlen idők óta: nem maga a szervezet jön, hanem a rendőrség, ha kijön valaki, az IP vizsgálat is a rendőrség “keze alatt” történik, a szakértőt te nem is látod, csak azt hallod, hogy már kopogtatnak.Bűncselekmény esetén felvétel készül, hogy miként jutottak hozzá az IP címekhez, amit a bíróságon be is mutatnak, de ehhez engedélyt kell kérni a rendőrkapitánytól, így nem a rendőrök húzzák az SQL injection-nál a rövidebbet, mert a munkájukhoz volt rá szükség, meg a bizonyításhoz, egy bűneset elkövetőinek a kilétének megállapításához.

Túl okos volt.

k0cka, köszi, ez tényleg jó tanács, ebben igazad van, az iwiw az tudom, hogy veszélyes, az apeh benne van több néven és kutakodik a felhasználók között. Ha valaki nem hiszi, google-ba üsse be: IWIW apeh, és nézze meg a találatokat! A proxy is csak annyit ér, mint egy jókora fing a szélviharban, mert abban is rengeteg a jogvédői érdekeltség, nem hiába blokkolja a peerguardian valamennyit.

Az emule, ami nem nagyon akar magyarok között elterjedni, nem tudom, hogy miért, és miért nem indulnak magyar szerverek hozzá, az nem egy rossz dolog anonimitás céljából. Amerikában sem nagyon akar az elterjedni.