Dzisiaj na nasz adres przyszła nietypowa przesyłka od... Kapitana Żbika i jego załogi... Grupa osób zajmuje się sprawdzaniem zabezpieczeń stron internetowych, które przechowują dane swoich użytkowników. Wczoraj na pierwsze ogień poszła strona zinfo.pl, która jak się okazało była bardzo dzuirawa.
W przesyłce znajdowały się zrzuty ekranowe strony z psikusami oraz "Raport Kapitana Żbika", który zawierał informacje z testowania strony.
oto treść raportu:
Cytuj:
Raport Kapitana Żbika
Dot. Portalu Regionalnego ZINFO.pl
Jako grupa młodych ludzi staramy się wykryć niebezpieczne luki w zabezpieczeniach popularnych serwisów regionalnych.
Jak wiadomo serwis tego typu przechowuje ważne informacje takie jak dane użytkowników oraz firm. Dlatego serwis powinien być zabezpieczony bardzo solidnie.
Wasz serwis powstał w oparciu o system zarządzania treścią (Content Management System) Joomla! (swahili razem!) rozprowadzany na zasadach open source - GPL. Takie rozwiązanie jest racjonalne tylko i wyłącznie wtedy, kiedy administrator na bieżąco instaluje aktualizacje – zarówno te krytyczne jak i te mniej ważne. Pamiętajmy też o aktualizacji komponentów Joomli! takich jak na przykład JCE Admin. Kolejną sprawą są ustawienia strony – na przykład register_globals.
Strona ma wiele niedociągnięć spowodowanych głównie złą konfiguracją i niestosowaniem się do ogólnych zasad bezpieczeństwa – o tym przeczytać możecie w dokumentacji Joomla! dostępnej na oficjalnej stronie projektu (dodatkowo dokumentacja jest w instalatorze!)
Na stronę dostaliśmy się o godzinie 12:00 – 12:20. Podkreślam tu że naszym celem był test nie atak!
Zmieniliśmy siedem rzeczy:
1. Pokaz slajdów na stronie głównej
2. Komunikat o słabych zabezpieczeniach
3. Hiperłącze w okolicach panelu logowania
4. Flagi w dziale Artykuły
5. Oferta / Cennik – informacja
6. Zamiana zdjęcia burmistrza Zgorzelca
7. Zamiana zdjęcia w artykule „Świadkowie Jehowy zapraszają”
Przepraszamy za zamieszanie, ale należy poprawić te luki jak najszybciej – dla bezpieczeństwa użytkowników! My tylko testowaliśmy zabezpieczenia… Strach pomyśleć co by się stało gdyby intruz miał wrogie zamiary!
Kapitan Żbik z załogą i jego okręt !
Dodam jeszcze, że poprosiłem grupę o przebadanie zabezpieczeń zgorzelec.info. Jak tylko otrzymam raport, zamieszczę to na stronie.
Poniżej zrzuty ekranowe oraz pełna wersja raportu a formacie PDF.
FAQ
Regulamin
Szukaj
Zaloguj się
Żałosne, że są jeszcze ludzie tak zacietrzewieni w swej nienawiści.
i wiesz o czym mówię...
