Forum » Omrežja in internet » DURS je na široko odpru vrata hekerjem
DURS je na široko odpru vrata hekerjem
Vice ::
Saj ne vem kam paše ta tema pa vseeno, lahko bi jo objavili pod novico.
Na javno dostopni spletni strani DURSA je bilo včeraj mogoče priti do izvorne kode spletnih strani, ki vsebuje tudi podatke o dostopu do podatkovnih stržnikov.
S tem dostopom lahko malo bolj vešč poznavalec pride do podakov o delovanju spletne strani , shranjevanju občutljivih podatkov in drugih pomembnih informacij. Datoteke vsebujejo internetni naslov, ime baze podatkov, username in geslo za dostop do strežnika MySQL...Spletne strani pa so napisane v programskem jeziku PHP. Trenutno ni znano kakšne podatke na tem stržniku hrani Davčna uprava, vendar napaka ki si so jo privoščili je več kot samo ponižujiča za DURS, kjer zagotavljajo da ta baza in username in ostalo ne vsebuje "kritičnih" podatkov in da je bil postavljen kot testni strežnik. Preiskava je v poteku.
Vir.: Finance
p.s. avtor strani je Nova Vizija d.o.o.
Na javno dostopni spletni strani DURSA je bilo včeraj mogoče priti do izvorne kode spletnih strani, ki vsebuje tudi podatke o dostopu do podatkovnih stržnikov.
S tem dostopom lahko malo bolj vešč poznavalec pride do podakov o delovanju spletne strani , shranjevanju občutljivih podatkov in drugih pomembnih informacij. Datoteke vsebujejo internetni naslov, ime baze podatkov, username in geslo za dostop do strežnika MySQL...Spletne strani pa so napisane v programskem jeziku PHP. Trenutno ni znano kakšne podatke na tem stržniku hrani Davčna uprava, vendar napaka ki si so jo privoščili je več kot samo ponižujiča za DURS, kjer zagotavljajo da ta baza in username in ostalo ne vsebuje "kritičnih" podatkov in da je bil postavljen kot testni strežnik. Preiskava je v poteku.
Vir.: Finance
p.s. avtor strani je Nova Vizija d.o.o.
kopernik ::
Če se taka stvar zgodi DURSu, je to kar nerodno. Sploh pa ne vem, kateri debil je dajal podatke o dostopu do podatkovnih baz v php skripto... Sam se s PHPjem ne ukvarjam, ampak karkoli sem doslej uporabljal, sem vedno dal konstante ven iz programske kode ...
BigWhale ::
Eh, traparija, DURS na svojih spletnih straneh ne hrani nic pametnega :P Prav tako vprasanje ali je sploh mozno priti do tistega SQL serverja, to da imas user/pass se nic ne pomeni :P Vsaj v vecini primerov ne, tam kjer je sistem pametno postavljen.
PS: Naucite se ze vendar, kaj je oz kdo je hacker...
PS: Naucite se ze vendar, kaj je oz kdo je hacker...
kopernik ::
Hmm, večkrat se zgodi, da imaš nekje testno bazo in v njej podatke skopirane iz produkcijske baze, vendar stare kako leto ali dve. Take testno postavljene baze so navadno dostopne tudi od zunaj, zato da se lahko testira aplikacija iz več lokacij (npr. za programerje, ki delajo od doma). Zato pravim, da je pri DURSU taka reč nerodna, ker morajo biti tudi starejši podatki "skriti" nepovabljenim očem. (čeprav bi bilo logično, da so v testnih bazah podatki ali pomešani ali pa izmišljeni... ampak kar je za nekoga logično, morda za nekoga drugega ni)
Seveda je res, da pri pravilno zastavljenih sistemih do kakšnih neumnosti skoraj ne more priti. Kaj pa pri nepravilno zastavljenih ?
Seveda je res, da pri pravilno zastavljenih sistemih do kakšnih neumnosti skoraj ne more priti. Kaj pa pri nepravilno zastavljenih ?
Seadoo ::
Načeloma je pri PHP+mySql najbolje, da pri definiranju userja definiraš host : 'localhost'. Tako ti potem ne pomaga niti, če veš geslo in pass, saj se še vedno ne moreš logirat iz localhosta. Php skripta se seveda lahko, problem pa je, da ne moreš uploadat skripte na njihov računalnik.
Vseeno pa je en security leak, če geslo in pass kr okoli trobiš
Vseeno pa je en security leak, če geslo in pass kr okoli trobiš
Vice ::
Saj ni potrebno da ima nekdo ne vem kaj na svojih spletnih straneh, dovolj je da po nevednosti omogočiš dostop do podatkovnih baz znotraj svojega IS-a, če si ti to zgodi ne moreš več govoriti da je sistem pametno postavljen. Do kakšne baze podatkov je bil dostop omogočen ni jasno, je pa jasno da iz strani DURS-a je izjavijo da NAJ bi bila to samo testna baza, da ni panike med ljudstvom. Komu verjeti je pa trukaj 50:50
p.s.: BigWhale lekcijo o hekerjih pa naslovi na Finance
p.s.: BigWhale lekcijo o hekerjih pa naslovi na Finance
pagat34 ::
Dokler bo na dursu svetil grilj, njemu in drugim na mf v rit lezujoči loleki in boleki, bo z dursom sranje.
še pomnite, ko so pomotoma ?! objavili dohodninske podatke zaposlenih na neki šoli?
ponujena jim je bila poravnava, durs ni sprejel, sedaj jih tožijo za cca. 3x višji znesek. Kdo bo plačal?
mi, slo voli, ki imamo tako oblast.
tri stvari so nujne v življenje: rojstvo, smrt, vmes te pa grilj jebe !
še pomnite, ko so pomotoma ?! objavili dohodninske podatke zaposlenih na neki šoli?
ponujena jim je bila poravnava, durs ni sprejel, sedaj jih tožijo za cca. 3x višji znesek. Kdo bo plačal?
mi, slo voli, ki imamo tako oblast.
tri stvari so nujne v življenje: rojstvo, smrt, vmes te pa grilj jebe !
_________________________________________
Zaradi stranskih učinkov se izogibaj M$ izdelkov!
Zaradi stranskih učinkov se izogibaj M$ izdelkov!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Brezplačna odprto-kodna POS Blagajna - mikroBLAGAJNA (strani: 1 2 3 )Oddelek: Programska oprema | 27366 (15886) | japol |
| » | Težave z MySQL povezavoOddelek: Izdelava spletišč | 2512 (2117) | la_mer |
| » | Amis in mysql bazaOddelek: Izdelava spletišč | 3108 (2858) | techfreak :) |
| » | Izbira programskega jezikaOddelek: Programiranje | 1432 (1087) | ql000 |
| » | Lokalna baza podatkov+Oddelek: Izdelava spletišč | 1174 (991) | CaqKa |