o bezpieczeństwie i nie...
Kacper znalazł RCE. W formatce logowania… — wystarczy jako nazwę użytkownika podać x” || komenda || “ Ominięcie uwierzytelnienia przez ustawienie ciasteczka isAdmin=1 też jest cudowne.
lub śledź nas za pomocą:
Z NordVPN korzystami sami i nazywamy go “najlepszym z najtańszych” (zwłaszcza w wariancie na 3 lata, gdzie wychodzi 2.93 EUR za miesiąc). W ramach licencji możesz go zainstalować na 6 urządzeniach, więc zabezpieczysz sprzęt całej rodziny. Ma aż 5500 serwerów z 59 krajów, wiec jesteś w stanie wyjść na świat np. z USA i oglądać seriale Netflix dostępne tylko tam i często zmieniać IP. Pozwala na używanie torrenta. Nie trzyma logów, a siedzibę ma w Panamie, poza prawną jurysdykcją Polski. Sprawdź czy faktycznie potrzebujesz VPN-a, a jeśli tak i zdecydujesz się na NordVPN, to kupując go po tym linku, wspierasz redakcję Niebezpiecznik.pl
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Jak są takie cuda już w pierwszej formatce w pierwszym skrypcie od logowania to aż strach pomyśleć co będzie jak się poszuka gdzieś dalej…
Trzeba być ograniczonym, by zrobić coś takiego w kodzie.
To brak elementarnej wyobraźni, brak umiejętności programowania. Te “błędy” wykraczają daleko poza zwykłą niewiedzę. To bliżej do bezczelności i wrodzonej głupoty niż do pomyłki. To nie był programista.
Jeśli takie rzeczy przechodzą przez code review, to cały zespół, od deva po product ownera powinien zostać zwolniony z pracy.
Sądzę, że ci specjaliści mogli mieć z tym kodem coś wspólnego:
https://www.youtube.com/watch?v=vh3tuL_DVsE
Tytuł brzmiał by lepiej: “Masz NAS WD…”
Nie dotyczy NAS WD MyCloud EX4 na firmware 2.11.157 (12/20/2016). Widocznie w tej linii produktów postarali się nieco bardziej, co nie zmienia faktu, że produkt i tak jest totalnym gównem za taką kosmiczną cenę. NIE KUPOWAĆ!!!
Nowego firmware również nie widzę do pobrania więc chyba jest ok, ale kto tam wie z tą tandetną linią produktów…
A ja myślę, że to jest specjalnie “zaprojektowany” backdoor dla wiadomych amerykańskich służb specjalnych…
To może jakieś alternatywy? Coś na bazie linuxa? Openmediavault, FreeNAS, CryptoNAS, NanoNAS, OpenFiler, Rockstor?