|
OFF: Как бы вы поступили с обнаруженной уязвимостью популярной системы | ☑ | ||
---|---|---|---|---|
0
Управляемые Формы
18.03.12
✎
20:59
|
Добрый день.
Предположим, что вы случайно обнаружили уязвимость в ASP.NET, позволяющую получить полный доступ к SQL базе данных Application Services (http://msdn.microsoft.com/en-us/library/bb547119.aspx), в частности к таблицам aspnet_Users и aspnet_UsersInRoles, расположенную на любом сайте, построенном на этой технологии (любые сайты на Битрикс, например). Причем для получения этого доступа не требуются больших ресурсов или времени, это не брутфорс. В общем, при написании небольшой программы, вы можете получить доступ к любому сайту, достаточно ввести адрес этого сайта. Что бы вы сделали? |
|||
1
mirosh
18.03.12
✎
20:59
|
не, ну а что
Попытался бы получить премию от Microsoft |
|||
2
andrewks
18.03.12
✎
21:00
|
так
Попытался бы получить премию от Microsoft |
|||
3
Управляемые Формы
18.03.12
✎
21:00
|
Ну, наверное так.
Попытался бы получить премию от Microsoft |
|||
4
ErrorEd88
18.03.12
✎
21:00
|
Шантаж, конечно.
Пользовался бы уязвимостью сам |
|||
5
IamAlexy
18.03.12
✎
21:01
|
(0) у меня битрикс на mysql
откуда там asp.net |
|||
6
Конфигуратор1с
18.03.12
✎
21:03
|
(0)выкладывайте свою программу - заценим
|
|||
7
Управляемые Формы
18.03.12
✎
21:04
|
(6) Что вы, откуда у меня? Это же раздел "философия". Даже скорее "психология"
|
|||
8
andrewks
18.03.12
✎
21:04
|
(7) так это чо, развод? тьху на тебя
|
|||
9
IamAlexy
18.03.12
✎
21:05
|
(8) +100500
народ побежал бекапить базы свои и срочно все на mysql переносить.. эх.... |
|||
10
Конфигуратор1с
18.03.12
✎
21:07
|
(7)ну это компетентные органы выяснят - откуда у вас ...
|
|||
11
Управляемые Формы
18.03.12
✎
22:18
|
(9) Уязвимость, скажем, не в SQL. Уязвимость в ASP. Так что, по-большому, и mysql под угрозой. Как вам такое развитие событий?
|
|||
12
Александр_
Тверь 18.03.12
✎
22:26
|
Написал бы в Microsoft, подождал бы ответа в течении двух недель. Если ответа нет, то далее собщил бы сообществу. Если ответ есть, то подоговоренности.
Написал бы в Microsoft об уязвимости |
|||
13
Steel_Wheel
18.03.12
✎
22:52
|
Я бы написал в Микрософт. И скромно попросил бы их выслать мне чек на сумму, которую, по их мнению, не жалко за обнаружение подобной уязвимости
Написал бы в Microsoft об уязвимости |
|||
14
DGorgoN
18.03.12
✎
22:53
|
Я еще на халяву не работал.
Попытался бы получить премию от Microsoft |
|||
15
Voronve
18.03.12
✎
22:55
|
И МОЛЧАЛ !
Пользовался бы уязвимостью сам |
|||
16
DGorgoN
18.03.12
✎
22:59
|
(15) Не всеми можно. Да и как правило их многие находят. Я тоже как то используя всякие патчи длл нашел ошибку которая позволяет обойти права и под гостем получить админа. Пофиксили очень быстро в каком то обновлении. Нашел сам.
|
|||
17
Inform
18.03.12
✎
23:14
|
Обычно человек, способный найти уязвимости такого рода, хорошо знает, что с этим делать.
Либо самому использовать, либо продать заинтересованным лицам. Если отослать в майкрософт - не факт, что это дойдет до тех, кто закроет брешь, а не уйдет на сторону от того, кто занимается разбором почты. В итоге кто-то заработает, а ты не получишь даже письма с благодарностями, за бугром же тоже всем кушать хочется. Пользовался бы уязвимостью сам |
|||
18
Aleksey
18.03.12
✎
23:18
|
(17) Немного не так. Кто то заработают, а тебя посадят ибо ты знал об уязвимости, значит это ты ею воспользовался и взломал сайт
|
|||
19
DGorgoN
18.03.12
✎
23:27
|
(17) Я случайно узнал. 2-м похвалится успел тока =(
|
|||
20
VasilyKushnir
18.03.12
✎
23:32
|
А уле тут еще думать?!!!
Пользовался бы уязвимостью сам |
|||
21
Лефмихалыч
18.03.12
✎
23:36
|
Я бы подумал, что мне показалось, пошел бы выспался и наутро с помощью серии контрольных экспериментов доказал бы, что таки-показалось
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |