Re: ka darytumet, jei rastumet svetimoje sistemoje saugumo spraga [Naras @ 2010-01-18 09:50:41]

Tema: Re: ka darytumet, jei rastumet svetimoje sistemoje saugumo spraga
Autorius: Naras
Data: 2010-01-18 09:50:41
isilauzimas butu traktuojamas tik tuo atveju jeigu duomenys butu kopijuojami 
ar panaudojami tiesiogines konkurencijos tikslais.

kad kiltu maziau parkiu tiesiog paskambink vadovui tos imones ir 
geranorishkai pasiulyk ishsitaisyti klaidas. nores ivertins pinigine, 
nenores ne.
jei nori "kliancinti" pinigus tai cia beveik shantazas...
atsitiktinai aptiktos saugumo spragos yra social spragos o ne technines, 
human error, todel kaip ir neisipaiso i tech problemas.

uzsakomuoju e saugumo auditu tu neuzsiimi, ish to negyveni.. nebuk 
amerikonas "omg kazkas atsitiko, dafai babkes kliancinu".

white hats forever.

"Ernikas" <aaa@aaa.com> wrote in message 
news:hiupcv$fhk$1@trimpas.omnitel.net...
> bet jei koks google kirminas landzioja, tai joks neisilauzimas, o cia negi 
> jau butu :)
>
> Ernikas
>
> "all set" <allset@inbox.lt> wrote in message 
> news:hitmqd$nmf$1@trimpas.omnitel.net...
>> apkaltintu isilauzimu ir tiek ziniu
>>
>> "VyvIT" <labas@viso.iki> wrote in message 
>> news:hipkrh$1q6$1@trimpas.omnitel.net...
>>> Labas visiems,
>>>    benaršant po google search rezultatus užkliuvo nuoroda į tam tikrą 
>>> paslaugą atliekančios tarptautinės kompanijos (turi daugiau nei 10 
>>> užsienio atstovų) puslapį;
>>>    na, o, bet, tačiau, kadangi ta tema man buvo aktuali, nusprendžiau 
>>> 'pasižvalgyti':
>>>    o - radau nuorodą į prisijungimą prie sistemos
>>>    o - beveik standartinė prisijungimo forma su user, password ir t.t.
>>>    o - pasibandziau suvesti kelis dažniausiai naudojamus demo 
>>> prisijungimus (demo,demo; user,demo.. :] ir t.t)
>>>    o - vienas jų mane įleido ("User" teisėmis)
>>>    o - toliau pažaidžiau su Firebug'u, Fiddler'iu ir išsiaiškinau, kad 
>>> galiu sistemoje matyti DAUG DAUGIAU, nei įprastinis useris:
>>>    o -     o - kurti vartotojus, trinti vartotojus (jei jau buvau 
>>> sukūręs, tai ir ištrint reikėjo :]),
>>>    o -     o - pakeisti savo ir kitų vartotojų teises
>>>    o -     o - MATYTI kitų vartotojų tam tikrus duomenis ir t.t., ir 
>>> t.t.
>>>
>>> Jeigu ta informacija būtų paskelbta viešojoje erdvėje, yra labai nemažai 
>>> šansų, kad ta kompanija galėtų prarasti ne vieną ir ne du šimtus 
>>> klientų.
>>>
>>> KLAUSIMAI:
>>>    Ar man pranešti atitinkamiems tos kompanijos asmenims apie šią 
>>> sparagą?
>>>    Ar prašyti atlygio? :] (Neatrodys tai kaip pinigų išmušinėjimas, 
>>> šantažas ar pan.?)
>>>    Ar pasisiūlyti pakonsultuoti tą kompaniją?
>>>    Kokie būtų jūsų veiksmai?
>>>
>>> P.S. Apie kompaniją neklauskit, nieko detaliau nepasakysiu ;]
>>>
>>>
>>> -- 
>>> _____
>>> VyvIT
>>>
>>
>>
>
>