Цитата |
---|
Александр Антипов пишет: Не взломанных. Уязвимых к потенциальному взлому. |
Цитата |
---|
Александр Антипов пишет: И ты думаешь что админ microsoft.com выскажет свое мнение? |
29.08.2005 10:33:16
Как платят админам, так и работают.
|
|
|
|
29.08.2005 10:43:57
2 $SMax$: IT безопаснсть и администрирование -разные, но параллельные весчи. Если я начну править конфиги и закрывать дырки, то зачем тогда мне админы?
2 Гость: А вот это самая распространённая отговорка, и самая глупая. Не нравится как платят? Увольняйся нафик! И задай себе вопрос почему вообще согласился. Любую работу надо выполнять добросовесно и ответственно, не зависимо сколько за неё платят. Надо просто найти высокооплачиваемую. |
|
|
|
29.08.2005 10:47:15
2 Иван Краснов
вот по-этому мой вопрос содержит вторую часть... ? 2 Гость сейчас админам платят оченна даже хорошо. да вот только они все хуже и хуже, это раз. А хотят всё больге и больше - это два |
|
|
|
29.08.2005 10:57:59
Эти дыры программисты корявые оставляют, пусть они и отвечают. Задача админа вовремя предупредить кого надо и не более.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|||
|
|
29.08.2005 11:12:41
Статья интересная. Спасибо. Но не все русские администраторы таковы. Когда я отправлял письмо администратору Рамлер.ру, мне очень вежливо ответили. Очень даже мило побеседовали. А баг был - инклуд.
|
|
|
|
29.08.2005 11:20:54
|
|||
|
|
29.08.2005 11:26:38
рамблер.ру т.е.
|
|
|
|
29.08.2005 11:42:42
dokk, там инклюд мог быть только в *.rambler.ru, а это совсем другое
|
|
|
|
29.08.2005 12:04:12
ну, тут афтар уж явно сгущает краски... хотя, изрядная доля правды в этом есть если уш так хотелось рассказать про состояние ит-безопасности в инете, надо было не только крупные конторы трясти, но и вообще брать штук по 10 машин из разных сфер - и крупных и мелких... и отдельных серверов и хостинговых сайтов. веть не секрет, что для того что бы сломать сайт на хостинге не обязательно искать дырку именно в нем. достаточно найти дырявый сервис на этом системном блоке. а дальше уже все зависит от крутизны и жесткости политики безопасности сисьадмина этой железяки. по моему опыту, у нас чуваки как правило действительно редко отвечают на такие письма. но дыры заделывают. особенно на хостингах. за бугром тоже. особенно в образовательных учереждениях - там почти под 100% случаев админы вменяемые. к тому же мерикосы часто шлют спасибные письма. а вот азиаты пока ни на одну мессагу про дырки не ответили и ни одну из указанных не залатали... мож по-англицки не парят
задача админа запретить использование дырявых сервисов на своих сервантах |
|||||
|
|
29.08.2005 12:12:54
|
|||
|
|
29.08.2005 12:39:53
ИХМО Бред... в mts и без вас мне кажется знает где и какие у них дырки есть. Люди просто в серьёз не воспринимают, ваши ребячества со сканером. Во если вы взломаете реально одну из более менее серьёзных контор. Тогда статье можно верить....
|
|
|
|
29.08.2005 12:42:10
|
|||
|
|
29.08.2005 13:14:28
У Секлаба на старом форуме так же было XSS ))
|
|
|
|
29.08.2005 15:29:26
Бла-бла-бла...
> Для каждого сервера проводилось беглый поиск наиболее распространенных уязвимостей Web-приложений, таких как Cross-Site Scripting, SQL Injection, file-inclusion и подобных. Это ключевая фраза статьи, которая буквально означает следующее: методологии тестирования сайтов на уязвимости авторы не выдадут под пытками. А без нее статья - сотрясание воздуха с целью рекламы своего сервиса и продуктов. Письмо, которое посылалось админам сайтов, по своей стилистике - спам и неудивительно, что на него никто не ответил - его просто посекли спам-фильтры. Окончание статьи говорит само за себя: > Основная цель исследования - попытка определить оценить уровень заинтересованности хозяев ресурсов в повышении защищенности этих ресурсов Для порядка стоило бы продить ее так: "путем покупки оборудования Cisco" Насчет же реального наличия уязвимостей, приведу следующий пример. Сканирую сервер под W2k3 с помощью MBSA, в репортал появляется СТРАШНАЯ ОПАСНОСТЬ, ДЫРА РАЗМЕРОМ С МАРИАНСКУЮ ВПАДИНУ и т.д. Смотрю - "у вас установлен ненужный сервис - telnet". Предлагаемое решение - "остановить и запретить запуск сервиса или УДАЛИТЬ его". Первое, разумеется, давно сделано и без советов MBSA, второе - я бы очень хотел знать как предлагается сделать Сухой осадок - согласно MBSA сабжевый сервер серьезно уязвим |
|
|
|
29.08.2005 16:52:20
Опять эе таки подтверждаю..
Сижу слушаю Лекцию.. Умён. |
|
|
|
29.08.2005 17:02:57
А вообще хочется сказать о том, что перекладывание ответственности сплошь и рядом.
Самое основное, что никто Админам не запрещает запускать сканеры и анализировать защищённость, закрывать дыры - никому про это не говорить. Тоже самое и разработчики.. Но почти всегда работает такая схема - ТЫ ОБНАРУЖИЛ, ТЫ И ЗАКРЫВАЙ. Вот в чём смысл этой статьи. От себя хочу сказать, что если бы я обнаружил следы такого поиска то я бы в 100 раз быстрее написал письмо тем кто это делал с вопросом: Господа а ЗАЧЕМ ВЫ ЭТО ДЕЛАЛИ????? |
|
|
|
29.08.2005 17:26:43
Ценность статьи в другом. Не показать вломы.. А показать нулевую реакцию Админов. Дрыхнут ОНИ.
|
|
|
|
29.08.2005 17:43:54
Вот золотые СЛОВА.
|
|
|
|
29.08.2005 17:48:22
Кстати ситуация намного серьезней чем вы все думаете.
Во вторых не задача админа искать дыры в Web сайтах или проверять безопасность кода написанного программистами. Это очень сложная процедура, под силу лишь профессионалам. Админ может безопасно настроить Web сервер, базу данных, операционную систему и т.п. Только в том, что он разбирается и что входит в круг его обязанностей.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
||||
|
|
|||