19:37
24/4/2010

porkythepig i roboty

Pod koniec marca, rodzimy bezpiecznik, porkythepig opublikował ciekawy raport poświęcony zautomatyzowanym atakom SQL injection i niedostatecznej ochronie przed “złośliwymi” crawlerami.

Atak robotów

porkythepig w swojej publikacji opisuje jak za pomocą “Google Hacking” i odrobiny “magii” znaleźć cele oraz uniknąć wpadnięcia w antymalware’owe filtry Google.

Celami stworzonego przez porkythepig bota stały się m.in. serwery firmy Lockhead Martin, skrzynki pocztowe pracowników NATO zawierające numery kart kredytowych i kilkanaście innych rządowych serwisów…

Jeśli tylko macie trochęduuużo wolnego czasu i nie straszny wam angielski, przeczytajcie publikację w całości, opisy pracy nad tworzeniem “złośliwego” bota zdradza wiele ciekawych informacji.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

7 komentarzy

Dodaj komentarz
  1. mam nadzieje, ze ten eksperyment nie skonczy sie dla autora sankcjami karnymi — grzebanie przy .gov / .mil jest troche lekkomyslne…
    propsy za research, ale tego typu boty polecam pisac w pythonie, zamiast w c++ :)

  2. Ja tam nie zwalidowałem jego systemu etycznego przez ten post na listę full disclosure, przed niezawisły sąd go! ;)

  3. Jest nawet nasz, Polski wkład w te badania. Uzyskał pełen dostęp do 95 baz danych należących do 3net.pl, najpierw przez ich własną aplikacje, a po jej załataniu przez aplikację jednego z ich klientów.

  4. @jurek ogórek: z tego papera:
    “Although one must point that the C++ isn’t the best
    choice if we want to code a web crawling automated bot – looking backward
    from the whole coding time perspective if I had the choice today and had to
    write it from the scratch – I would have chosen Python blindfolded (at least
    for this kind of robot).

  5. “Miscleneaous vulnerable systems:

    – One of Polish commercial email/web hosting company database,
    …”
    Ktoś wie który?

  6. @Zen Vantalye: “Ktoś wie który?”

    Ten który hostuje stronę “Tour De Pologne”.

    “During the final month-long runtime it spotted a minor vulnerable website’s database, provided for Polish barbers industry. After enumerating all the other accessible databases on that vulnerable MSSQL server using same db-user account as for the barbers portal login interface, amazingly, it came out that the server is the VERY SAME db-server belonging to the previous major Polish hosting company, hosting 94 other R/W accessible databases, including for example the biggest Polish international cycling racing event website – “Tour De Pologne”.
    Since all the server hosted databases were aministrated and serviced by that single hosting company, all of them were protected by the SAME db-user account, rendering R/W accessible every database hosted there through that single minor barber portal – including WWW/FTP customer account credential database, company financial operations database (customer credit card data), and so on.”

  7. […] pisaliśmy już jakiś czas temu w kontekście jednego z jego ciekawych projektów — robota szukającego podatności SQL w internecie. Nie jest wykluczone, że dziura na stronie desc.dla.mil została znaleziona właśnie […]

Odpowiadasz na komentarz Piotr R.

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: