Clever Geek Handbook

中小企業の大きな愚かさについて

私の義務により、私は定期的にさまざまな公式の矛盾に遭遇します。

たとえば、サポート対象製品がどのように機能するかがわからない技術サポートがあります。

しかし、誰もがこれに精通しており、あなたはこれで誰も驚かないでしょう。 完全に悪質なケースについて説明します。



サイトを壊した方法


私はすぐに予約をします。インターネットの趣味のルールと、見つかった脆弱性についてリソースまたはホスティングの所有者に通知するために必要なものについて知っています。 この場合、脆弱性の欠如とわいせつな愚かさの存在のため、私はこれをしませんでした。



ある朝、ある会社のサイトが別のサイトでどのように機能するかを、移動の可能性を考慮して確認する必要がありました。



サイトはそれを宣伝する会社によってホストされていることが判明しました。 管理には、DBeditプログラムが使用されますが、これはすでに会社のWebサイトで見つけることが問題でした。 うまく対処できたので、CMSをサイトに接続しました。 コンピューターリテラシーがまったく異なる人々のために作成された詳細なマニュアルがありました。 この原稿を読んでいる間、ホスティング会社の妥当性についての最初の疑念が忍び込んだ。



実際、サイトはInterBaseデータベースのサーバーに保存されています。 私はそれを聞いたことがなく、インストール中に標準のSYSDBAログインとパスワードのペア-masterkeyが作成され、それを他のものに変更する必要があることは確かです。 クライアントログインパスワードは元の形式で発行されます。 そのため、パスワードを変更する必要性に関するマニュアルには、言葉がありません。 マニュアルは、標準のパスワードについてまったく知らないデザイナーまたはコンテンツマネージャー向けに設計されていることを思い出してください。 今後、DBeditインターフェースを使用して変更することはできず、サポートのコミュニケーションも何ももたらされないことに注意してください。 パスワードは変更されません!



「では、コンテンツへのアクセスを制限する別のレベルのセキュリティがある可能性があります。」

あなたを動揺させてもいいですか? 「彼はそこにいません。」 正直に。 まあ、本当に。 以下がその証拠です。



画像



次のように言っていただけますか:「接続パラメーターはどうですか? クラッカーはそれらを知りません。」

そして彼は知っています。 十分:ホスティングを購入するか、すでにアカウントを持っている友人に尋ねると、典型的なパラメーターがわかります。 それらは複雑ではありません:



%_____%._.ru: %_____%







それだけです。 それはすべてです。 顧客の大多数にとって、これらのオプションは同じです。

CMSにアクセスしてコンテンツを操作し、好きなことを実行できます。 変更を保存することを忘れないでください。



それほど単純ではありません! いえいえ シンプル。


ここで私はまだ驚きを待っていました-サイト上のCMSで行われた変更は表示されませんでした。 しかし、私はマニュアル付きの教科書を持っていました...



変更を適用するには、特別なサイトにアクセスして、他の(原文のまま)ユーザー名とパスワードを入力する必要があります。

「まあ、神に栄光を! これはkulkhackersの障害です!」と思い、私は間違っていました。



次の形式の特別なサイトに移動します: %_%.%_%.ru







認証を求められます。

ここで、ログインは%your_domain%であり、パスワードは%your_domain%の最初の4文字です。

それは奇跡ではありませんか? これは、この会社がホストするほとんどのドメインに当てはまります。 このデータを変更することもできません。



サイトで、行われたすべての変更を表示します。 次にリンクをたどります



%_%.%_%.ru/genstart







それだけです。 行った変更はすべて本番に送信されます。



再確認


PINGの助けを借りて、私たちのサイトが置かれているIPサーバーを認識しました。

2IP.RUリソースで、このIPにあるすべてのドメインを認識しました。

そしてリストを調べました。 標準のパスワードは、このアドレスの84のサイトのほぼすべてに登場しました。

私は近隣のIPをチェックしました-同じ状況があります。

また、CMSへの接続と、パスワードがサイトのプレビュー管理者に適しているかどうかも確認しました。



あとがき


最も保守的な見積もりによると、少なくとも100のサイトが同じパスワードを持っています。

みんなのプロ意識がうらやましい。

次の3つの理由により、オフィスの名前を付けません。

  1. サイトを一緒に保持している企業は、改ざんに満足することはまずありません。
  2. 急いで破壊するためにウェブサイトを強打することを学ぶ欲求はありません。
  3. テキスト内のプロンプトによると、不幸なオフィスを自分で見つけるのは非常に簡単です。




ご清聴ありがとうございました。


More articles:


All Articles