Téma: Melyik a legjobb 10 magyar tárhely szolgáltató?

Bandy82 eredeti hozzászólása

Kedves Geri! Köszönjük, hogy jelezted felénk az általad felfedezett problémát.
Kollégáimmal az üzeneted alapján megvizsgáltuk az esetet és arra jutottunk, hogy bár igazad van, hogy ez a fájl nálunk olvasható, nem igazán jelent biztonsági kockázatot sem ránk, sem pedig ügyfeleinkre nézve.
A szerveren lévő user nevek ugyan lekérdezhetőek, de ezen kívül egy külső érdeklődőt vagy betolakodót nem visz közelebb ahhoz, hogy ezt felhasználva olyan helyre jusson be, amit mi semmiképp sem szeretnénk. A user jelszavakat természetesen nem itt tárolja rendszerünk, ahhoz a fájlhoz természetesen nincs hozzáférési jog.
Rendszerünkön a belépési pontok korlátozottak, a jelszavakat biztonságosan tároljuk, szervereinken a tárhelyek egymástól teljesen el vannak szeparálva, a másik user fájljai akkor sem láthatóak, ha bárki ismeri az adott user nevét.

Természetesen tudjuk, hogy nincs feltörhetetlen rendszer, a feltörések többnyire - és legegyszerűbben - emberi mulasztás miatt következnek be.
De abban az kijelentésemben talán megegyezhetünk, hogy az elmúlt 6 évben senki sem tett kárt rendszerünkben és úgy gondolom, hogy ez nem csak véletlen szerencse.

Ha tudom a usernevet, tudom milyen szerveren van, az már egy elég jó kiinduló pont telefonos híváshoz ahol több adatot is ki lehet szedni az emberekből (és ne legyen kétséged, bankkártya adatokat képesek megadni)

Bandy82 eredeti hozzászólása

De abban az kijelentésemben talán megegyezhetünk, hogy az elmúlt 6 évben senki sem tett kárt rendszerünkben és úgy gondolom, hogy ez nem csak véletlen szerencse.

Kicsik vagytok es szerencsesek, maradjunk ennyiben
Egyebkent ez egy tipikus misconfiguration, es ha egy ilyen van, akkor valoszinuleg tobb is, ha raszannek par orat, joesellyel talalnek mast is, vagy ezen elindulva kis kreativitassal talan lehetne olvasni par erzekeny fajlt a szerveren. Siman csak be kellene allitani az openbasedir-t es megoldodna a problema.

Bandy82: TLS RC4