.
Jedną z usług oferowanych przez Google jest Remove your URL. Umożliwia ona usunięcie swojej strony z indeksu wyszukiwarki Google.
W dniu dzisiejszym Earl odkrył możliwość listowania katalogu urlconsole. Nie niosło to by za sobą niczego niezwykłego gdyby nie zawartość tego katalogu. Zawiera on kilka javowych plików, strukturę kilku baz danych oraz informację o haśle roota do serwera baz danych mySQL, którym jest a raczej było k00k00. Trzeba przyznać, że wybrane hasło nie jest zbyt bezpieczne.
Z błędu Googla należy wyciągnąć dwa wnioski. Pierwszy z nich to konieczność wyłączenia możliwości listowania katalogów, jeśli opcja ta nie jest nam potrzebna. W pełni zabezpieczy nas to przed Directory traversal czyli możliwością listowania katalogów na serwerze, a co za tym idzie przed możliwością podglądu niektórych plików. W celu dokonania tego należy w pliku .htacction .htaccess umieścić następującą linijke:
Options -Indexes
Drugim wnioskiem powinien być sposób, a raczej miejsce przechowywania wrażliwych danych. Gdyby plik updatedb umieszczono w katalogu nadrzędnym do public_html nadal spełniał by on swoją rolę, a przy okazji uniemożliwiłby podgląd hasła roota.
Pliki, do których umożliwił dostęp błąd można przejrzeć pod adresem http://www.beldzio.com/zrzut/googledt/
20 odpowiedzi do “Dziurawe Google”
Jakiś czas temu (całkiem niedawno) byłem na prelekcji na temat łańcuchowych ataków XSS, gdzie właśnie „możliwość” wykonywanie skryptów pozwalała na fajny sposób automatycznego rozsyłania się zarażonych e-maili w sposób bardzo podobny do działania robaków internetowych. I podobno dziura na to pozwalająca była w Tlenie, a tutaj widać ją w Gazecie… Mam nadzieję, że odpowiedzą na Twoje zarzuty, bo to bardzo, bardzo niebezpieczne jest.
Hm coraz wyzej atakujesz ;D
Fajny napis, jest co poczytać :)
Kurde :/ Tyle nowych komentarz, a ja nic o tym nie wiem :D @Ktosiu od czasu kiedy napisałem im maila o tym błędzie mineło dokładnie 6 dni i odpowiedzi ani fixa nie widać tak więc …
hm.. ciekawe, bledziak co bedzie nastepne? :D
sklep :-)
witam :) oczywiście Gazeta.pl jest nadal dziurawa. pisałem o tym na swoim blogu: http://dudzislaw.blox.pl/2007/02/Gazetapl-XSS-w-Poczcie.html jak na razie nic nie zostało zrobione w tej sprawie. widzę, że chyba metoda wprowadzania kodu jest podobna… ach :/ pozdrawiam, Dudzisław
.htaccess, nie .htacction, chakierze
Ja bym się spytał: co za jeleń używa konta roota do połaczeń z bazą..
p.s.
Jak już Ci napisał ktoś w "htaccess" umieszcza się -Indexes, jednak lepiej zrobić to globalnie w configuracji httpd i zezwalać jedynie wtedy gdy jest potrzeba.
@mkane jasne, że lepiej, ale nie zawsze ma się możliwośc ustawienia tego globalnie.
ja znam podobny przypadek bezmyślności, choć na znacznie mniejszą skalę i mniej ciekawy :) kiedyś się nudziłem i wpisałem ip koleżanki do przeglądarki. jakie było moje zdziwienie, gdyż moim oczom ukazała lista plików. jeden tar.gz i plik kto.php :) wciskam kto.php i pokazała się lista osób korzystających właśnie z łącza radiowego wraz z adresami ip :P a taka informacja może być przydatna włamywaczom, gdy wyłączony jest serwer DHCP.
pim … jesli ktos ma chociaz troche oleju w glowie to nie potrzebne mu zadne pliki w stylu kto.php … wystarczy aircrack albo kismet ….
@JacuS co ma wardriving do bezpieczeństwa aplikacji internetowych?
podobno i google analytics mają jakieś usterki, zamienię je chyba na płatne może stat.pl może 7point.pl pomyśleć trzeba bo to co darmowe wychodzi że złe :/
E tam :-) Imho Google Analytics niedługo przejmą PL rynek :-) dlaczego? bo będzie polski interface :)
ciekawe, nie wiedziałem :) ale pewnie trzeba trochę poczekać a niektórym się śpieszy
zobacz tu http://www.sprawnymarketing.pl/artykuly/google-analytics-po-polsku/ :)
zawsze to krok na przód, ciekawe co na to polskie systemy statystyczne :/
gemius się zdziwi :D
no wreszcie może neta odsyfi od tego…
Oby wiecej takich artykulow…