Tema: Re: ka darytumet, jei rastumet svetimoje sistemoje saugumo spraga
Autorius: Ernikas
Data: 2010-01-17 12:39:27
bet jei koks google kirminas landzioja, tai joks neisilauzimas, o cia negi 
jau butu :)

Ernikas

"all set" <allset@inbox.lt> wrote in message 
news:hitmqd$nmf$1@trimpas.omnitel.net...
> apkaltintu isilauzimu ir tiek ziniu
>
> "VyvIT" <labas@viso.iki> wrote in message 
> news:hipkrh$1q6$1@trimpas.omnitel.net...
>> Labas visiems,
>>    benaršant po google search rezultatus užkliuvo nuoroda į tam tikrą 
>> paslaugą atliekančios tarptautinės kompanijos (turi daugiau nei 10 
>> užsienio atstovų) puslapį;
>>    na, o, bet, tačiau, kadangi ta tema man buvo aktuali, nusprendžiau 
>> 'pasižvalgyti':
>>    o - radau nuorodą į prisijungimą prie sistemos
>>    o - beveik standartinė prisijungimo forma su user, password ir t.t.
>>    o - pasibandziau suvesti kelis dažniausiai naudojamus demo 
>> prisijungimus (demo,demo; user,demo.. :] ir t.t)
>>    o - vienas jų mane įleido ("User" teisėmis)
>>    o - toliau pažaidžiau su Firebug'u, Fiddler'iu ir išsiaiškinau, kad 
>> galiu sistemoje matyti DAUG DAUGIAU, nei įprastinis useris:
>>    o -     o - kurti vartotojus, trinti vartotojus (jei jau buvau 
>> sukūręs, tai ir ištrint reikėjo :]),
>>    o -     o - pakeisti savo ir kitų vartotojų teises
>>    o -     o - MATYTI kitų vartotojų tam tikrus duomenis ir t.t., ir t.t.
>>
>> Jeigu ta informacija būtų paskelbta viešojoje erdvėje, yra labai nemažai 
>> šansų, kad ta kompanija galėtų prarasti ne vieną ir ne du šimtus klientų.
>>
>> KLAUSIMAI:
>>    Ar man pranešti atitinkamiems tos kompanijos asmenims apie šią 
>> sparagą?
>>    Ar prašyti atlygio? :] (Neatrodys tai kaip pinigų išmušinėjimas, 
>> šantažas ar pan.?)
>>    Ar pasisiūlyti pakonsultuoti tą kompaniją?
>>    Kokie būtų jūsų veiksmai?
>>
>> P.S. Apie kompaniją neklauskit, nieko detaliau nepasakysiu ;]
>>
>>
>> -- 
>> _____
>> VyvIT
>>
>
>