forum.opennet.ru

"Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пользователей"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."	+/–
Сообщение от roveek (?), 11-Фев-09, 11:43
Не надо рассчитывать на то, что код не достанут :) Просто комбинировать широкодоступные средства, например: update users set password=sha1(md5('password')) where id=12345 Комбинации и длинна цепочки sha1-md5 любая, если кто-то рассчитывается, что до кода не доберутся, то это будет доп. уровень защиты.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пользователей, opennews, 05-Фев-09, 15:32 [смотреть все]

Мдя Просто удивительно, что за столько лет авторы phpBB так и не научились прог, Аноним, 05-Фев-09, 15:44 (3) //
- да уж и до сих пор защищают пароли MD5, аноним, 05-Фев-09, 16:02 (5) //
  - А вы так вот запросто научились из md5 пароли восстанавливать Нет, md5-ому конеч, User294, 05-Фев-09, 19:33 (37) //
    - дина пароля не важна - тк длина хеша фиксирована востановить можно и не тот пар, parad, 05-Фев-09, 22:06 (50)
      - В теории это возможно, при том - с любым алгоритмом хэшироавния т е если найдет, User294, 05-Фев-09, 23:43 (58)
        
        на практике никто не вычисляет Есть база данных в интернете с коллекцие md5 хэш, simonvu.spb.ru, 06-Фев-09, 10:08 (68)
        
        Ну, это скорее всего просто словарная атака, помогает только против простых паро, User294, 07-Фев-09, 13:33 (94)
        
        Поэтому нормальные люди делают перед md5 примерно такое pass фыва pass , kost BebiX, 09-Фев-09, 14:02 (114)
        
        Не надо рассчитывать на то, что код не достанут Просто комбинировать широкодос , roveek, 11-Фев-09, 11:43 (122)
        
        Кстати вполне себе вариант Единственное что мне не очень нравится идея раздувать, User294, 18-Фев-09, 17:49 (125)
        
        а md5 можно реализовать на ПЛИСе Тогда эффективность перебора в тысячи раз увел, simonvu.spb.ru, 06-Фев-09, 10:10 (69)
        
        У меня уязвимая версия PHPList, ниуа этот эксплойт против установки из коробк, Щекн Итрч, 06-Фев-09, 11:17 (72)
        Хоть на кластере из cell, 2 128 значений в любом случае заколебетесь перебирать , User294, 07-Фев-09, 14:15 (95)
  - Ну наверное, и ежу понятно, что не колизии MD5 были задействованны, а радужные б, Аноним, 05-Фев-09, 19:39 (38) //
    - PHP - не лучший язык, но не все так плохо Для взаимодействия с базами данных ис, Kaiser, 06-Фев-09, 06:37 (66)
      - А слабо по гуглю сделать запрос mediawiki уязвимость Если вы про википедию, , Аноним, 07-Фев-09, 20:44 (100)
      - gt оверквотинг удален Ну вот взломали сайт Общественной палаты интересно скол, Аноним, 08-Фев-09, 17:52 (104)
        
        В случае гос заказа так же во многих других случаях я не считаю бабло показате, Kaiser, 08-Фев-09, 18:27 (105)
        
        А вот это уже интересно, покажите как оно дешевле, в смысле дешевых пхп-кодеров , Аноним, 08-Фев-09, 20:17 (106)
        
        Скорее не дешевые, а проще найти Уже есть наработки на php как свои, так и сто, Kaiser, 08-Фев-09, 20:37 (108)
        
        Чой-то не верится про некоторые проекты , да и не говорят так веб-проект на py, Я, 08-Фев-09, 20:29 (107)
        
        А почему не говорят Тем более, что не вебом единым , Kaiser, 08-Фев-09, 20:38 (109)
        
        Ну не cgi же вы использовали, а фреймворки уж больно разные, чтобы выделять язык, Аноним, 09-Фев-09, 22:17 (115)
        
        gt оверквотинг удален Предположу по сайту писали студенты за степендию и зачет, ntimmy, 09-Фев-09, 09:45 (111)
    - Пруфлинк для третьей версии не затруднит На что-нибудь свежее и злое А то скольк, User294, 18-Фев-09, 16:54 (123)
- Причём тут авторы phpBB Написано же phplist Да были времена когда phpbb была сп, RageLT, 05-Фев-09, 16:10 (9) //
  - Michiel Dethmers, автор PHPlist по совместительству является разработчиком PHPbb, Аноним, 05-Фев-09, 16:28 (13)
  - Хахаха, умные разработчики пхпбб без всякой проверки используют любой софт, кото, terr0rist, 05-Фев-09, 23:49 (59)
- А вы за слова ответить то сможете Покажите дырки в phpbb3 собственно который они, User294, 05-Фев-09, 17:29 (24) //
  - А можно я за него отвечу Из избраного http milw0rm com exploits 7386Из вчера, Аноним, 05-Фев-09, 19:46 (39) //
    - У тебя PHP PHPBB приравнивается в true, а вот это не просто дыра, а диагн, Oles, 07-Фев-09, 12:57 (92)
      - А какая разница пэхапэбиби это или джумла или еще что-нибудь на пэхапэ, дырявые, Аноним, 07-Фев-09, 19:57 (98)
        
        Вот для этих двух пруфлинки на чтонить серьезное плиз И не надо на левые сторонн, User294, 18-Фев-09, 18:18 (126)
    - Это чо, оно требует какой-то левый мод пыхпббы В сад Или даже в зад Вы стоковый , User294, 18-Фев-09, 17:31 (124)
  - Для начала обычно умные люди учатся на чужих ошибках читают маны и факи по безо, terr0rist, 05-Фев-09, 23:51 (60)
  - Зеродей - ведомо вам такое понятие У меня есть мой личный зеродей против од, Щекн Итрч, 06-Фев-09, 11:04 (70) //
    - gt оверквотинг удален У нас есть такие приборы, но мы вам про них не раскажем, AntiDot, 06-Фев-09, 16:06 (80)
- Видимо там также сидят те, кто благодаря идиотизму не умеют читать даже такую пр, Oles, 07-Фев-09, 12:54 (91) //
  - Тут говорится, что PHP это сплошная дырка в безопасности , Аноним, 07-Фев-09, 19:31 (96) //
    - Молодца Так скоро индуские программеры превысят по IQ местных В этой новости д, Oles, 07-Фев-09, 19:41 (97)
      - Ну да, индуский кодер, phpbb, phplist они же на точканете написаны, только мы с , Аноним, 07-Фев-09, 20:26 (99)
        
        И Я могу сделать говно на любом языке, было бы желание , Oles, 07-Фев-09, 21:12 (101)
Надеюсь тех уродов найдут и посадят, Аноним, 05-Фев-09, 16:19 (11) //
- ЭЭ а вот этого не надо , благодаря этим уродам как вы говорите, они показывают с, wertik, 05-Фев-09, 16:27 (12) //
  - Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших польз, Аноним, 05-Фев-09, 16:31 (14) //
    - Кто на что горазд Не вижу разницы , wertik, 05-Фев-09, 16:34 (16)
      - Зато я вижу Порядочный хакер найдя дыру вообще-то сообщает админу и только потом, User294, 05-Фев-09, 19:09 (35)
        
        Ага, даём вам 30 секунд - мы благородные пираты ИМХО так - даже хуже Пока польз, ы 0, 05-Фев-09, 21:15 (47)
        к примеру, найду тебя или того кто тебе дорого, и совершу убийство без отягч, cray, 05-Фев-09, 22:04 (49)
        Может вообще сажать разработчиков за то, что не умеют программить и оставляют ды, terr0rist, 05-Фев-09, 23:35 (57)
    - а скольким пользователям ихнего сайта это доставило страдания поделитесь информ, spamtrap, 05-Фев-09, 18:36 (30)
      - и какой тяжести еще плюс пригласить психолога чтоб провел психоанализ со всеми, cray, 05-Фев-09, 22:38 (53)
  - А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т к вам показали в, Aleksey, 05-Фев-09, 16:33 (15) //
    - Вы не путайте, а то еще про солонку щас баян припомню IT не тот сектор Аккаун, wertik, 05-Фев-09, 16:38 (17)
      - Какая разница Если вам так угодно, пусть это будет не квартира, а ваш домик, пос, Sem, 05-Фев-09, 16:54 (19)
        
        В таком случае начинайте с низа Ответственность с производителей жестких дисков, wertik, 05-Фев-09, 17:02 (21)
        
        Аналогия неуместна, все эти производители предупреждают пользователя заранее в л, Аноним, 05-Фев-09, 18:38 (31)
        
        а когда ты дверь покупал себе в квартиру там тоже был такой пунктик вы исполь, none, 06-Фев-09, 17:25 (81)
        
        То есть, если дверь взломали - садить не воров, а тех, кто дверь сделал , Abstractioneer, 09-Фев-09, 12:33 (113)
        
        А если он в домик залез, посмотрел ТВ, полистал журналы, скопировал из свежего п, Вася, 05-Фев-09, 23:20 (56)
        
        Разумеется Нарушена неприкосновенность жилища , Аноним, 06-Фев-09, 12:37 (73)
        Не надо лезть своими грязными руками другому в штаны, даже если он забыл застегн, GoSha, 07-Фев-09, 11:02 (88)
      - Знаете, если мне кто-то, пусть даже спец по отмычкам покажет что замки у меня го, User294, 05-Фев-09, 19:13 (36)
        
        Правильная мысль, особенно если учесть тот факт, что для профи любой замок откры, GoSha, 07-Фев-09, 11:05 (89)
    - , Аноним, 08-Фев-09, 21:57 (110)
    - А можно не путать , реальную жизнь и виртуальную Тем более имея такой бардак о, wertik, 09-Фев-09, 11:50 (112)
  - Правильно, для того, чтоб показать что нож - оружие, нужно перерезать не менее 1, Oles, 07-Фев-09, 12:59 (93)
- А зачем их искать Помоему список разработчиков phpBB известен , Guest, 05-Фев-09, 16:58 (20) //
  - У них у всех израильское гражданство А там своих не выдают , geekkoo, 05-Фев-09, 17:04 (22)
- надеюсь что не найдут, вы наверно хотите чтоб все были белые и пушистые и пусть , i, 05-Фев-09, 17:27 (23) //
  - Сообщить о баге - это не одно и тоже с тем, чтобы его использовать Если для вас, Aleksey, 05-Фев-09, 18:27 (27) //
    - Я не знаю, насколько авторы phpBB адекватны, но иногда подобный способ 8212 е, darkk, 05-Фев-09, 22:49 (54)
- Мне кажется, мистер, из-за таких как вы уже практикуется фильтрация трафика по к, Unknown, 05-Фев-09, 20:55 (42)
- Думаю слишком сурово, а вот штраф на пару десятков косых в самый раз , Touch, 06-Фев-09, 14:14 (76)
Зачем там вообще регистрация , Аноним, 05-Фев-09, 16:48 (18)
Теперь при регистрации под открытыми бесплатными движками помимо заверения о сод, Андрей К., 05-Фев-09, 18:05 (25) //
- А при чём здесь GPL , WhiteWind, 05-Фев-09, 18:27 (28)
- при чем тут GPL Кража данных она везде кража, включая банковские счета т е р, bsdaemon, 05-Фев-09, 18:57 (33)
- вы лучше eula от Microsoft почитайте Или у других разработчиков закрытого ПО , Unknown, 05-Фев-09, 21:09 (44)
- только после того как родишься осознаешь, что мир - дерьмо а при чем здесь gpl , vitek, 06-Фев-09, 01:20 (63)
Вообще если у вас сопрут с ISS то вам скажут-- что, вы сами виноваты , srgaz, 05-Фев-09, 18:22 (26) //
- идиоты, которые скажут, что сами виноваты, всегда найдутся, в не зависимости от , spamtrap, 05-Фев-09, 18:38 (32)
Есть такая хорошая поговорка За одного битого - двух небитых дают И я уверен, ч, VyacheslavS, 05-Фев-09, 18:32 (29) //
- куда уж лучше-то , anonymous, 05-Фев-09, 18:57 (34)
- и в инете появится еще пара сотен тыщ статей о SQL-injection и include anyfile ,, terr0rist, 05-Фев-09, 23:56 (61)
C каждым релизом работает шустрее, исправляют баги и тп, вводят новые фишки - во, VyacheslavS, 05-Фев-09, 20:30 (40)
Он доступен многим, понятен, прост в использовании и он GPL Попробуйте доказать , Аноним, 05-Фев-09, 21:07 (43) //
- Ну доступных и более понятных языков вагон и маленькая тележка А що opennet напи, Аноним, 05-Фев-09, 21:33 (48) //
  - PHP конечно зло но главное зло - это РНР-программисты Можно и на пыхе написа, terr0rist, 06-Фев-09, 00:12 (62) //
    - Каждый язык должен использоваться для своих задач У меня таблица в html 300 мег, Аноним, 06-Фев-09, 02:09 (64)
      - Perl - для текста У меня таблица в html несколько минут - это очччень долго , terr0rist, 06-Фев-09, 02:17 (65)
    - Если не учитывать массу хаков веб-клиентов, с получением полного доступа к систе, Аноним, 06-Фев-09, 08:37 (67)
      - Допускает не язык а программисты Не хочу любить язык Люблю девушек Django и R, Geol, 06-Фев-09, 11:04 (71)
        
        Вот уж нет, не нужно все взваливать на человека, человеку свойственно ошибаться,, Аноним, 06-Фев-09, 13:50 (74)
        
        Опять же, не спорю, а поправляю Нельзя сделать абсолютную защиту от дурака в сре, terr0rist, 06-Фев-09, 15:07 (78)
        
        Вы уж простите, но моё дело - как раз веб-разработка С Django я действительно о, Geol, 06-Фев-09, 15:39 (79)
        
        Есть Постольку, поскольку дыры очень часто находят в САМОМ php, да и просто доф, nuclight, 06-Фев-09, 19:28 (83)
        Проблема не в том что проектов больше, а следовательно и уязвимостей больше, про, Аноним, 06-Фев-09, 19:30 (84)
        
        Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная ф, Аноним, 06-Фев-09, 19:14 (82)
        
        А кто вам вообще сказал что Zend используют больше чем RoR Есть статистика , Аноним, 06-Фев-09, 14:07 (75)
      - В принципе, я не спорю Я только уточняю Можно рассматривать с точки зрения юзер, terr0rist, 06-Фев-09, 14:49 (77)
        
        Ага, придет к вам толстый заказчик кинет денег на стол и скажет хочу баннер на ф, Аноним, 06-Фев-09, 19:55 (86)
  - gt оверквотинг удален да неужели а symfony к примеру ни осилил php виновно , лка, 09-Фев-09, 22:47 (120) //
    - а symfony к примеру ни осилил php виновно Симфония вещь она хорошая конечно, но , Аноним, 10-Фев-09, 00:04 (121)
Нашелся и взломщик, точнее его блог http hackedphpbb blogspot com 2009 01 plac, VyacheslavS, 05-Фев-09, 21:13 (45)
1 Всё что одним человеком сделано, завсегда другим может быть поломано 2 А за, GoSha, 07-Фев-09, 11:16 (90)
Правильно сделали, что сломали Там ошибка - детская a etc password Голо, tty01, 08-Фев-09, 13:18 (103)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру