Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте и могут быть опубликованы без предварительной модерации.
Два хабраюзера нашли уязвимость и взломали 3320 сайтов, получив доступ к их файловой структуре и исходникам, причём использовали давно известный хак с директорией /.svn. Среди сайтов - яндекс, опера, рамблер, РБК и прочие гиганты.
Добавить 24 комментария
Почему » якобы «? Обоих пользователей знаю лично, отличные программисты, опытные. Им нет смыла лгать.
Какие там они интересные файлики утащили… вебманевские ключи это действительно интересно…
Это полный 3.1415926 . Чем нужно думать, чтобы держать .svn на публичном сервере?
Потому что удобно ?
Я щитаю их теперь должны взять на работу в Яндекс-Рамблер-Мэйл-РБК одновременно!
http://apache.org/.svn/
Весело живем.
Мне кажется, что значимость этой дыры несколько преувеличена, хотя, конечно, получилось «больно и обидно». :)
Бобук и Кукуц утверждают, что у Яндекса всё ок и в этих каталогах ничего интересного не было.
Было интересное или нет, но такая дыра — высочайшая глупость А что же еще могут утверждать Кукуц и Бобук? Они теперь будут до конца отнекиваться
Высочайшая глупость — дыра, из-за которой ушли бы в открытый доступ данные пользователей, или исходные коды серверных приложений, но этого не произошло, и не могло бы произойти. Полагаю, что у Яндекса, как и у других компаний, утекло следующее: — часть структуры каталогов проекта (просто названия и иерархия папок); — возможно, часть структуры репозитория (какая ветка текущая, какие есть ревизии, что с чем мержилось); — исходники CSS/HTML/Javascript, разных версий, которые итак были доступны всем пользователям; — информация о svn-логинах разработчиков (НЕ пароли, поскольку они хранятся в другом месте); Эта информация может немного помочь злоумышленнику в поиске и/или эксплуатации какой-то уязвимости, однако, сама по себе особого вреда нанести не может.
2 Rebus, вы неправильно предполагаете. Например, когда я тестировал свой демон на 003.ru, он от туда вытягивал не только статику, но динамику. Я не исследовал его наличие паролей и другой интересной информации, но то что там были исходники — факт.
В Рамблере почти не пишут на ПХП, в Яндексе, полагаю тоже. А на Perl, Java, Python нет особого смысла располагать либы и скрипты в пределах DocumentRoot. Так что вы можете получить то, что лежит в шаблонах — HTML, CSS, возможно, часть логики отображения. Но, если код написан хорошо (а я, всё-таки, думаю, что для Яндекса это так), то работы, например, с базой данных, в шаблоне вы не увидите, так что вам будет доступна только не очень большая часть кода, и не очень критичная. Впрочем, дыра, конечно, обидная, и хорошо, что авторы смогли обратить на неё внимание программистов вообще, и крупных компаний, в частности.
2 Rebus: вы не поверите, но и «на php» тоже нет особого смысла все валить в одну кучу (documentroot)
в общем, я жду, когда на торрентах появится много вкусняшки мне всегда нравилась поговорка steal with a prayer ;о)
Высочайшая глупость — дыра, из-за которой ушли бы в открытый доступ данные пользователей, или исходные коды серверных приложений, но этого не произошло, и не могло бы произойти. Полагаю, что у Яндекса, как и у других компаний, утекло следующее: Фактов то вообще никаких нет, кроме публикации с некими утверждениями.
а попадут ли в интернет вопросы которые любят задавать на интервью — — можно ли при помощи циркуля и линейки разделить угол на три равных угла? — что значит » = 0″ в virtual void f() = 0 в С++ — в чем разница между deque и vector в STL — есть два стеклянных стакана одинаковой степени крепости и здание в 100 этажей как с наименьшего числа попыток узнать крепость стаканов (с какой этажа надо их бросить чтобы они разбились) — посчитай сумму всех чисел от 1 до 100 за 5 минут
> Я щитаю их теперь должны взять на работу в Яндекс-Рамблер-Мэйл-РБК одновременно! После отсидки непременно :))
— можно ли при помощи циркуля и линейки разделить угол на три равных угла? Чушь какая-то, кому это нужно вообще. Вот разделить бутылку 0,5 литра на три равных стакана — это реальная задача. Причем БЕЗ циркуля и линейки.
— есть два стеклянных стакана одинаковой степени крепости и здание в 100 этажей как с наименьшего числа попыток узнать крепость стаканов (с какой этажа надо их бросить чтобы они разбились) 0 попыток ) ежу понятно что на первом же этаже они разбиваются (согласно жизненному опыту стакан-поднос-пол)
Вот разделить бутылку 0,5 литра на три равных стакана — это реальная задача. Причем БЕЗ циркуля и линейки. Не-а, с таким умением вас не возьмут в лучший коллектив программистов. Если возьмут, то только сисадмином. А если захочете стать настоящим «программистом-математиком», то надо знать ответы на такие вопросы.
Эх, не возьмут меня на работу в «Яндекс-Рамблер-Мэйл-РБК», я не знаю ответов на эти вопросы… :)
> — можно ли при помощи циркуля и линейки разделить угол на три равных угла? с помощью размеченной линейки — можно.
>>Вот разделить бутылку 0,5 литра на три равных стакана — это реальная задача. Причем БЕЗ циркуля и линейки. По 7 бульков на стакан