Samo 22 linije koda bile su dovoljne za krađu poda

poruka: 16
|
čitano: 6.730
|
moderatori: vincimus
1
+/- sve poruke
ravni prikaz
starije poruke gore
Ovo je tema za komentiranje sadržaja Bug.hr portala. U nastavku se nalaze komentari na "Samo 22 linije koda bile su dovoljne za krađu poda".
12 godina
offline
Samo 22 linije koda bile su dovoljne za krađu poda

Nisam neki programer,ali ovo mi izgleda presmiješno.

 
0 3 hvala 0
7 godina
neaktivan
offline
Re: Samo 22 linije koda bile su dovoljne za krađu

Pa lako moguće haha

10 godina
offline
Samo 22 linije koda bile su dovoljne za krađu poda

Ovo oko ubacivanja morao sam dvaput pročitat. Smiješno. Ono, kao ja odem na neku stranicu na Internetu i ubacim programski kod šale radi jer mi se tako htjelo, copy/paste na neki server. Yea, right, imam osjećaj da je netko s admin ovlastima popušio nekog trojananca na svom laptopu.

 
2 1 hvala 0
11 godina
offline
Samo 22 linije koda bile su dovoljne za krađu poda

Mogla je biti i jedna linija da su minimizirali 

Samomrzeći hrvat
Moj PC  
15 0 hvala 0
10 godina
protjeran
offline
Samo 22 linije koda bile su dovoljne za krađu poda

Nema veze da li je 22 linije koda ili 22,000 linija koda. Ovo je samo "code injection" koji utječe na to što će "gumb Ok" na web formi raditi. Bez direktnog pristupa na njihov server i na razvojni kod (možda i na bazu) nikakav code injection nije moguće ubaciti.

 

Najbitnija stvar u ovoj priči jest da su uspjeli ubaciti maliciozni softver na njihove development servere koji je bez ičijeg znanja kod mijenjao. Vrlo vjerojatno imaju krticu, možda neki junior developer nije zadovoljan s plaćom, možda je neki stari senior pred penziju odlučio se malo baviti "hackiranjem" da si uzbudi život, tko će ga znati.

 

Zabrinjavajuće je da tako velika kompanija (koja si može priuštiti apsolutno sve) ima takve očite rupetine u svojem internom poslovanju i procesu developmenta. Tko zna što još možemo očekivati i od drugih, jer očto je da su ovi samo vrh sante leda.

Poruka je uređivana zadnji put sri 12.9.2018 0:01 (ZovemseZoranidolazimizRijeke).
Moj PC  
10 0 hvala 0
6 godina
protjeran
offline
Re: Samo 22 linije koda bile su dovoljne za krađu
ZovemseZoranidolazimizRijeke kaže...

Zabrinjavajuće je da tako velika kompanija (koja si može priuštiti apsolutno sve) ima takve očite rupetine u svojem internom poslovanju i procesu developmenta. Tko zna što još možemo očekivati i od drugih, jer očto je da su ovi samo vrh sante leda.

 Nije li tzv. ljudski faktor uvijek očita rupetina u svakome sustavu?

All work and no play makes Jack a dull boy.
15 godina
neaktivan
offline
Samo 22 linije koda bile su dovoljne za krađu poda

kako elegantno...

 

Moj PC  
0 0 hvala 0
7 godina
offline
Re: Samo 22 linije koda bile su dovoljne za krađu
Ma ne treba krtica nikakva, dovoljan je jedan XSS vulnerability
Trust nobody, become the best !
11 godina
offline
Samo 22 linije koda bile su dovoljne za krađu poda

cek jel se moze ajax samo tek tako poslati na neku drugu domenu? kak to browser dopusti? 

 
0 0 hvala 0
15 godina
offline
Re: Samo 22 linije koda bile su dovoljne za krađu
trolaslavonska kaže...

cek jel se moze ajax samo tek tako poslati na neku drugu domenu? kak to browser dopusti? 

 

Naravno da može, kako radi Google Analytics? Sve ovisi o CSP definiciji na serveru...

16 godina
odjavljen
offline
Re: Samo 22 linije koda bile su dovoljne za krađu
Mr.ddevil kaže...
Ma ne treba krtica nikakva, dovoljan je jedan XSS vulnerability

Moguće, iako je poprilično nevjerojatno.

 

trolaslavonska kaže...

cek jel se moze ajax samo tek tako poslati na neku drugu domenu? kak to browser dopusti? 

Ako nema CSP headera, browser po defaultu dopušta ajax upite na domene koje to dopuštaju. Znači, defaultno je da ciljani endpoint mora dopustiti CORS, a matična stranica zabraniti.

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
15 godina
offline
Samo 22 linije koda bile su dovoljne za krađu poda

.. jedino je smiješno što se na svaki ovakav događaj odgovara generičkom ''hacker'' rečenicom, mada su hackeri samo u jamesbondu, ostalo su insiderjobovi.

smiješno/tužno je kad se formatirani cod mjeri na broj linija, koji je nevažan, .. služi preglednosti/održavanju kao i removi, dok ni u bytoevima ne znači puno, jer su stvar podržanih naredbi, koje mogu biti 'kratke' .. ispada (pošto je naslov upravo takav) da je važno 22 linije.. i upgrade-jača verzija će imati ''samo 19 linija!!'' :) .. a nisu važne rupe, sigurnost, sustav koji to (ne)dozvolajva ili čitava IT industrija koja je šuplja..

 

- i smiješno je, što firme-kompanije imaju i zakonsku odgovornost.. kazna. No to se ne spominje, samo 22 linije, a jednom će možda i to (ili je lobi koji to prevenira prejak u EU..).

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
 
3 0 hvala 0
16 godina
offline
Samo 22 linije koda bile su dovoljne za krađu poda

Slažem se, ove 22 linije koda su nevažne u cijeloj priči (da se radi o bilo kojoj drugoj stranici opet bi bilo 20-tak linija).

Totalno misleading za neprogramere - ispada kao da je ta skripta omogućila krađu podataka (a prvi komentar to i potvrđuje) što nije istina - skripta je poslužila samo za kopiranje podataka,

a koliko linija koda može imati skripta koja kopira par podataka s jednog mjesta na drugo - pa i ove 22 linije su previše!

 

Ovo je isto kao da piše "Samo jedan USB stick je bio dovoljan za krađu podataka iz.." u slučaju da su koristili USB stick da prebace podatke.

 

Svemir.
 
3 0 hvala 0
8 godina
offline
Re: Samo 22 linije koda bile su dovoljne za krađu
Proući kako radi xxs napad. Iako je ovo mogao biti i sql in. Nije napisano o kakvom se kodu radi.
16 godina
offline
Re: Samo 22 linije koda bile su dovoljne za krađu
andrijam kaže...
Proući kako radi xxs napad. Iako je ovo mogao biti i sql in. Nije napisano o kakvom se kodu radi.

 

1. Nije xxs nego xss

2. Skripta nema veze sa SQL injection-om, iako je on mogao biti korišten da se dođe do pristupa te da se ubaci skripta koja se spominje

3. Imaš sliku koda u tekstu

4. ProuČi gramatiku

Svemir.
16 godina
online
Samo 22 linije koda bile su dovoljne za krađu poda

Bar su ukradeni podaci slani preko https-a :)

Sigurnost prije svega.

Always code as if the one ending up maintaining your code is a violent psychopath who knows where you live
Moj PC  
6 0 hvala 0
1
Nova poruka
E-mail:
Lozinka:
 
vrh stranice