10:57
26/11/2013

Kilka tygodni temu, w stopce Niebezpiecznika podmieniliśmy rok na coś, co przypomina “wyciek” kodu PHP. Na dzień dzisiejszy, zwróciło nam na to uwagę 278 osób, ale…

…ale mało kto (tylko 34 osoby ze zgłaszających), zadały sobie trud rzucenia okiem w kod źródłowy. Gdyby to zrobiły, to zorientowałyby się, że nie “nie umiemy kodować w php”, a po prostu je trollujemy:

Easter Egg Niebezpiecznik.pl

Easter Egg Niebezpiecznik.pl

Oczywiście, w trollowaniu pomogła nam popularność i wygoda korzystania z narzędzi takich jak Firebug czy Developer Tools, z których zapewne skorzystała większość “raportujących” błąd na stronie.

Ten sam kod źródłowy, widziany przez Developer Tools (inspektor DOM) nie pokazuje antrybutu "hint" z eastereggową podpowiedzią

Ten sam kod źródłowy, widziany przez Developer Tools (inspektor DOM) nie pokazuje antrybutu “hint” z eastereggową podpowiedzią

Dlaczego narzędzia te nie pokazywały “wskazówki”, tak jak robi to zwyczajny podgląd kodu źródłowego HTML (zilustrowany powyżej)? Pytanie na dziś: czym jest DOM?

Wniosek na przyszłość: podczas analizy kodu strony, zwłaszcza w kontekście testów penetracyjnych, nie zawsze dobrym wyborem jest ufanie temu, co widać w “inspektorach DOM”… Pułapek jest zresztą więcej, niż tylko brak widoczności “błędnych” atrybutów.

Tak czy inaczej, wielki szacunek dla każdego, kto nam podesłał informacje o “wycieku kodu PHP” ze stopki. Przynajmniej doscrollowaliście naszą stronę na sam dół… wytrwalcy! ;)

PS. Więcej “dziwnych” reakcji zarówno przeglądarek jak i webaplikacji pokazujemy na naszym szkoleniu z Atakowania i Ochrony Webaplikacji (najbliższe w Warszawie i dziś jest ostatni dzień, żeby złapać je po niższej cenie — na chwilę obecną zostały 2 wolne miejsca).

Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Jeszcze więcej osób (jak ja) prawdopodobnie NIE wysłało żadnej informacji, gdy się zorientowało że to nie wyciek ale zwykłe trollowanie ;p

    • Jesteśmy tego świadomi – niestety nie bardzo mamy pomysł jak zmierzyć tę grupę osób i porównać z tymi, którzy “zgłosili błąd”.

    • Nie ma sensu raportować błędu, który nie istnieje – choć i tak większość zajrzała w źródło wiedząc, że to fake :-)

    • @Piotr Konieczny
      Można w kodzie źródłowym do żartobliwego komentarza dodać link stronki z “nagrodą”… :) Łatwo zweryfikujecie ilość obejrzeń tej stronki… Tylko “nagroda” nie powinna być zbyt atrakcyjna… aby sam link nie zaczął żyć swoim życiem. :)

    • Strzał w 10 BloodMan. Widziałem przypis w stopce, szybko sprawdziłem w firebugu i nic nie słałem.

    • Też zauważyłem to wcześniej i jak popatrzyłem w kod to się uśmiałem :)

    • @Piotr Konieczny
      Możecie zamieścić javascripta, który np. sprawdza czy ktoś kliknął na element DOM stopki ;). Można spróbować rozróżnic prawy/lewy przycisk, … itd:)

    • wgeta nie robi. Doskonałych technik nie ma. I dobrze, bo byłaby to szansa na inwigilację ;-)

  2. Ja widziałem, ale nie chciało mi się pisać ani sprawdzać bo myślałem, że nadzieje się na honeypota :P

  3. Serio wierzyliście, że ktoś uwierzy, że głupio się pomyliliście…i to lamkowe echo?

    Albo macie czytelników za idiotów, albo naprawdę zdarzają się tacy, którzy “wydajnie” programują odwołując się do zmiennej, która zmienia się co rok….
    Jak ktoś jest leniwy i mu się nie chce zmieniać co rok stopki niech dopisze sobie zadanie cron-a, do wykonania 1 stycznia…

    Czego się dowiedzieliśmy? Że, każde oprogramowanie ma bariery. Tak jak ojcowie (i matki) tych programów…

    • really? lepiej tworzyć jakieś skomplikowane konstrukcje z crona, template’u, itp lub podmieniać co roku stopkę na każdym serwisie, jakim się administruje niż po prostu wykorzystać trywialnie prosty mechanizm wbudowany w język?…

    • Po co dodawać zadanie do cron’a skoro jest odwołanie do funkcji zwracającej rok date(‘Y’)?

    • Rzecz w tym, że chyba nie do końca wiesz do czego są skrypty… Podpowiem Ci, że automatyzują one rzeczy, które mozolnie muszą robić ludzie, a to jest przykład świetnego zastosowania. Widać jaki z Ciebie ‘człowiek profeska’ w programowaniu.

  4. Nie wiedziałem że można tak ukryć pewne elementy przed inspektorami DOM. Mimo to analizując kod od strony bezpieczeństwa jakoś zawsze posługiwałem się “Pokaz źródło” z firefoxa niz firebugiem – teraz wiem że nalezy robic tak zawsze. Dzięki Piotr ;)

    • Hmm, Firefox (25.0.1) pokazuje hinta, ale tylko przy wyświetleniu źródła całej strony. Przy pokazywaniu źródła fragmentu, hint znika.

  5. A jeszcze inna część wiary najnormalniej w świecie nie ogląda stopki bo po co jechać dalej jak już zapoznało się z całą listą wątków =]

  6. Nigdy nie odpisujecie, wiec po co wysyłać cokolwiek. Również zwróciłem uwagę na to oraz na źródło.
    Zamieścić skrypt ile razy prawy klawisz został użyty ;p

    • mój wget nie obsługuje ma prawego klawisza :(

    • Jak to nie odpisują? Nam Niebezpiecznik odpowiedział na jednego maila (więcej nie pisaliśmy, bo nie mieliśmy takich potrzeb). Tak więc, prosimy o rozważne dobieranie zdań, bo nigdy nie wiadomo, kto zapuka do Twoich drzwi. :-)

      Kifflom!

  7. Ech, kod PHP tak sobie sie nie pojawia z .. tylka na stronie ;d
    Plusik za humor xD

  8. Mogliście w hincie kazać dodać jakiś parametr do url. Można by sprawdzić ile osób to przeczytało…

    • Tak. Tylko to dalej nie rozwiązuje kwestii ile osób widziało “błąd” i nie dotrało do hinta i nie napisało że widziało błąd :-(

    • A ile osób zraportowało, lub zajżało w źródło dopiero po przeczytaniu czyjegoś komenta, które się tu pojawiały? Wtedy trafili by na url w hincie i znów przekłamanie wyników. Może ankieta i wiara w szczerość?

  9. Ja osobiście myślałem, że to jakaś geekowa forma wyrażenia roku bieżącego :) W końcu serwis głównie odwiedzają osoby, które mają jakieś pojęcie o html i php.

    • Ja na to zwróciłem uwagę dopiero, gdy ktoś tę stopkę skomentował (kto czyta stopki, bitch please…) No i, dokładnie tak jak Kuba, wziąłem to za geekowy żart (coś jak email podawany na tym forum przeze mnie), byłem sto procent pewien, że to jest wpisane jawnie w tekst HTML, nawet mi na myśl nie przyszło, że Niebezpiecznik może cieknąć pehapem… (fuj!)

    • Ja dokładnie tak samo :)

    • No to witajcie w klubie :)

    • Znam wiele osób , w tym ja, którzy czytają sobie niebezpiecznika bez większej wiedzy w tematyce php i htmla :) ot tak, jako ciekawostki.
      Także ja należę do osób które ani tego nie zobaczyli, a jeżeli nawet to i tak by się tym nie przejęli.

  10. Emmm…. może ja coś przespałem albo mam jakieś deja vu, ale to już kurde było. I tego wymuszonego babola macie już ooooohohohoho że ohohoho ;]
    Więc albo ja umiem przewidywać przyszłość i widziałem co macie zamiar zrobić albo cały czas korzystacie z jednej i tej samej zabawki :P

  11. Ja też :-D

  12. Trolololo lo lo lo uha ha ha, trololo lo lo lo lo, lolo lolo lo, trolo lo, trolo lo lolo lo! Uhaaaaaa aaaaa

  13. misiaczku, ktory napisal ze Niebezpiecznik nie odpisuje:
    nie prawda. z tego co pamietam, nie bylo maila na ktorego nie odpowiedzieli.

    ;]

    • Jednym odpisujemy, innym nie. Kilka wiadomości dalej czeka na więcej czasu, część z osób nie podaje prawdziwego adresu e-mail, reszta chce “zhackować FB swojej dziewczynie”.

  14. Mi się ten niuans bardzo spodobał :) I nawet nie pomyślałem, że to błąd, a forma dystansu :)

  15. glou +1
    Nie jestem pewien czy można to zaklasyfikować jako easter egg’a, dla mnie to bardziej jest jołk branżowy. :)

  16. Widziałem podobny zapis w stopce strony Codeception więc uznałem, że to nowa moda :)

  17. Ja jak to zobaczyłem, to pierwsza moja myśl była, że to taki żarcik branżowy :)

  18. A w stopce dalej jest echo date(“Y”) :P
    Chociaż teraz wiadomo ilu ludzi pomogłoby Niebezpiecznikowi w zagrożeniu :D
    To byłby dobry żart na primaaprilis (BTW dalej na serwerze https://niebezpiecznik.pl/AF.js ;))

  19. Ja myslalem, ze to jakis geekpwy zarcik

  20. w ramach takich kawałów to na prima aprilis na serwerze proxy szefowi do każdego css’a doklejaliśmy
    body{
    transform:rotate(7deg);
    -ms-transform:rotate(7deg);
    -webkit-transform:rotate(7deg);
    }

  21. Szczerze mówiąc, jak to zobaczyłem to przez długi czas (liczony w tygodniach) nawet nie zajrzałem w źródło strony bo od razu czułem że to easter egg, no come on na niebezpieczniku coś takiego….

    Dopiero potem z nudów dopiero to zrobiłem, hint zauważony… olewka :)

  22. Faktycznie chyba nigdy się nie doscrollowałem na dół ;)

  23. jest kilka fajnych skryptow do tego by zalwazyc kiedy jest wyswietlany obiekt dom moglibyscie nastepnym razem z niego skorzystac
    przyklad do obrazkow
    http://www.appelsiini.net/projects/lazyload

    • Ale już takiego kliknięcia w literkę ‘v’ już nie zauważysz (v jest domyślnym przypisaniem klawiszowym do ‘toggle source’ w w3m, który był wielokrotnie wymieniany w komentarzach u góry). I, jakbyś się wczytał w treść komentarzy, wiedziałbyś, że wiele różnych pomysłów było już przedstawianych ale żadnen nie zapewniał zdobycia informacji o wszystkich użytkownikach, którzy spojrzeliby w kod lub (nie)zauważyli stopki.

  24. Jak zobaczyłem, to od razu pomyślałem, że to celowo :f

  25. widziałem to dawno temu, ale jakoś olałem pisanie :D miałem inne sprawy, ale teraz dobrze wiedzieć :D:D

    • +1

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.