SPAM: Izkoriščanje lukenj (like Mimovrste)

Danes sem opazil, da moja stran oglašuje konkurenco. KAKO je to mogoče, ker sam nisem vnesel oglasa. Po kratki raziskavi sem ugotovil, da je nekdo nastavil dovoljenje za anonimno editiranje. Dopuščam možnost napake ampak je napad na stran bolj verjeten.

MojUčitelj.net je vnesel lasten oglas, brez moje vednosti in brezplačno ter s tem kršil cel kup zakonodaje, da ne rečem spletne morale. S tem je le potrdil mojo miselnost o egoizmu in ''skrbi za lastno rit'', ki jo zelo rad poudarjam pri našem narodu (tokrat tudi v webmaster sferi).

Takole je izgledala ilegalno vstavljena vsebina: LINK.

...in takole je normalno: LINK.

Uredniku strani MojUčitelj sem poslal zahtevek po opravičilu in obrazložitvi, sedaj pa ga obveščam o tem še na forumu, ker je verjetno tudi tukaj član. Ko mi bo pošlo potrpljenje bom obvestil CERT in naj se nato pogovarja z njimi.

11 odgovorov

Zanima me kako mu boš to dokazal ? Si zabeležil loge pa to da vidiš oz maš kakšen trden dokaz razen neke posredne?

Pa kljub temu ne vrjamem da se bo kaj zgodilo. Le javno ga lahko oblatiš, pa še to mogoče nebode vsi verjeli?

Našel sem log v katerem je čas in IP tistega, ki je spreminjal stran. Če to ni dovolj, kaj naj še poiščem?

Najbolj pomembna podatka pri vsakem prijavljanju kakršnekoli omrežne zlorabe ali varnostnega incidenta sta:
datum in točen čas dogodka
IP številka oz. naslov izvora

vir: http://www.arnes.si/si-cert/prijave.html

Mislim, da bo dovolj:)

MojUčitelj, če to bereš: do torka počakam na tvoj odgovor na mejl.

zna bit da koda dopušča vnos htmlja in je namesto tajlta samo ustavil <a href...?

Ne, čisto normalno je bilo mogoče odpreti edit tab, kot to naredi admin. Ne vem pa kako in zakaj je ravno ta podstran dobila taka dovoljenja. Četudi je šlo za napako je nima pravice izkoriščat.

1

Hmmm...

Pa misls, da ve, da je to napaka?
Če se neka pokaže na uporabniškem vmesniku potem uporabnik smatra, da mu je dovoljeno to funkcijo uporabljati, razen če ni izrecno prepovedana?

Jure:
Hmmm...

Pa misls, da ve, da je to napaka?
Če se neka pokaže na uporabniškem vmesniku potem uporabnik smatra, da mu je dovoljeno to funkcijo uporabljati, razen če ni izrecno prepovedana?

Pravilno če je imel uporabnik to možnost naredit to ni nobena kršitev. To je isto kot da bi rekel da uporabnik na forumu ne more naredit ankete. Vendar mu to uporabniški umesnik dopušča:D Tle ni nobene kršitve ampak povsem legalna uporaba strani......

Stvar se zaključi tukaj: Če je imel dostop preko uporabniškega vmesnika je vse storil legalno in je napaka samo na tvoji strani.....

1

V vsakem primeru preden zadeve javno objavljaš poišči luknjo in vse podatke. In če misliš zadevo reševat preko policije ali odvetnika potem to rešuj preko policije/odvetnika in ne na forumu, ker boš izgubil kar nekaj prednosti (če ne pravic) s takšnimi objavami.

3

Se strinjam z theDegrizom. V prvi vrsti pa popravi luknjo.

Dokler vam (webmasterjem) bo varnost zadnja briga, kot se to prepogosto dogaja, ne morete pričakovati nič drugega kot vdore v sistem, ter njihovo izkoriščanje. Sicer so pozitivni primeri webmasterjev, pa vendar. Nekaj je jasno: po pravni poti je najtežje rešiti karkoli. Veliko lažje in ceneje bi bilo da nekoga plačaš da ti zrihta varnost, v kolikor je sam ne znaš oz. ne veš sploh s čim se ukvarjaš. Žalostno je da marsikdo niti ne pozna svojega lastnega sistema.
Večina vas je preveč napumpana s temile uradnostmi in mislite da vas bodo sodišča in tožbe rešile iz vsake bedastoče ki ste jo morebiti tudi sami zakuhali. Ne. V kolikor nisi imel velike finančne izgube zaradi dotične stvari in jo lahko tudi dokažeš, se lahko obrišeš pod nosom reševati stvari po pravni poti.

8