c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori.

il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono.


cosa fareste voi al posto mio?

Originariamente inviato da lnessuno
c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori.

il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono.


cosa fareste voi al posto mio?

un minimo di protezioni mettilo sempre, la madre dei rompicoglioni è sempre incinta ;)

Originariamente inviato da -kurgan-
un minimo di protezioni mettilo sempre, la madre dei rompicoglioni è sempre incinta ;)



il bello è che so chi è. di andare a trovarlo e fargli il culo non ne vale la pena, lui probabilmente si diverte così, facendo fare ste cazzate a qualche suo collega (non ne avrebbe le conoscenze).

il fatto è che non è sicuro niente di quel forum, a partire dall'hosting, poi ho usato un semplice database access... a crackare qualunque password ci vuole un attimo, e anche il codice che ho messo non è certo il massimo della sicurezza.


quello che voglio è solo fargli capire che sta rompendo i coglioni e basta!

minaccialo di denuncina alla finanzina il tuo hackerino no? ;)

mandagli una mail dove dici che ti fa pena, poi se ti gira butta tutto su phpbb + mysql, in un attimo lo fai :)

Originariamente inviato da eriol
minaccialo di denuncina alla finanzina il tuo hackerino no? ;)


vedrai ke si caca sotto ^^


traccia l ip al coglione e poi mandagli una mail minacciando di denunciarlo :) vedrai come si caca in mano :)

Originariamente inviato da eriol
minaccialo di denuncina alla finanzina il tuo hackerino no? ;)



è un amico (oddio, comincio ad avere qualche dubbio) e un mio ex compagno di classe, non mi va di arrivare a quello e non ne varrebbe nemmeno la pena.

probabilmente ha solo avuto la password dell'ftp dall'altro amministratore, ora l'ho cambiata e vediamo se la cosa continua. però che rottura di cazzi!

Originariamente inviato da lnessuno
è un amico (oddio, comincio ad avere qualche dubbio) e un mio ex compagno di classe, non mi va di arrivare a quello e non ne varrebbe nemmeno la pena.

probabilmente ha solo avuto la password dell'ftp dall'altro amministratore, ora l'ho cambiata e vediamo se la cosa continua. però che rottura di cazzi!


allora dal momento che è un amico o pseudo tale gli fai capire che la cosa ti da VERAMENTE fastidio e che non sei più disposto a tollerare cose del genere.
se è un amico ti darà retta...

Originariamente inviato da lnessuno

cut

andare a trovarlo e fargli il culo

cut

Originariamente inviato da Leron
mandagli una mail dove dici che ti fa pena, poi se ti gira butta tutto su phpbb + mysql, in un attimo lo fai :)



mica tanto... il forum l'ho fatto da zero in asp, completamente a mano... è una prova più che altro, e visto che c'è si potrebbe usare per tenere in contatto noi di quel corso.

non mi va di usare phpbb a questo punto, preferirei continuare su quello visto che l'ho fatto.

ad ogni modo, ora ho cambiato tutte le password, vediamo se domani riesce di nuovo ad entrare.


ah... il bello è che ste cagate le fa dal posto di lavoro, quindi presumo che sia qualche suo cazzocollega il lamer.

Originariamente inviato da lnessuno
cosa fareste voi al posto mio?
chiamarei edivad come amministratore :D

Originariamente inviato da bluelake
chiamarei edivad come amministratore :D

così i danni li farebbe lui direttamente? :D

Originariamente inviato da LuPellox85
così i danni li farebbe lui direttamente? :D
ovviamente :D la cosa più bella è quando ci inserisce nuove funzioni nel pannello mod senza avvertire e si incazza perché vado subito a provarle :D

Originariamente inviato da bluelake
chiamarei edivad come amministratore :D



mmm

http://i2.1asphost.com/afpforum/topic.asp?sez=1&idtopic=37


dici che sto rischiando grosso? :sofico:

Originariamente inviato da bluelake
ovviamente :D la cosa più bella è quando ci inserisce nuove funzioni nel pannello mod senza avvertire e si incazza perché vado subito a provarle :D



:D:D:D:D:D:D:D:D

Originariamente inviato da StErMiNeiToR
vedrai ke si caca sotto ^^


traccia l ip al coglione e poi mandagli una mail minacciando di denunciarlo :) vedrai come si caca in mano :)

Qual'è un buon programma per tracciare l'ip? una volta ne ho visto uno sotto linux... non mi ricordo il nome.

Originariamente inviato da lnessuno
mmm

http://i2.1asphost.com/afpforum/topic.asp?sez=1&idtopic=37


dici che sto rischiando grosso? :sofico:
:mbe:

Originariamente inviato da lnessuno
mica tanto... il forum l'ho fatto da zero in asp, completamente a mano... è una prova più che altro, e visto che c'è si potrebbe usare per tenere in contatto noi di quel corso.

non mi va di usare phpbb a questo punto, preferirei continuare su quello visto che l'ho fatto.

ad ogni modo, ora ho cambiato tutte le password, vediamo se domani riesce di nuovo ad entrare.


ah... il bello è che ste cagate le fa dal posto di lavoro, quindi presumo che sia qualche suo cazzocollega il lamer.
beh, un lavoro eccezionale se lo hai fatto da solo, tienitelo stretto, deve essere pure una bella soddisfazione :cool:

Originariamente inviato da Leron
beh, un lavoro eccezionale se lo hai fatto da solo, tienitelo stretto, deve essere pure una bella soddisfazione :cool:



grazie, in realtà il lavoro non è stato così enorme, l'ho fatto un pò a tempo perso diciamo :)

la soddisfazione c'è in effetti, dopo un anno di corso sono arrivato a fare un piccolo forum... e mi da fastidio vedere che c'è chi si diverte così, sinceramente, visto che lo scopo di quel forum non è certo essere sicurissimo, ma solo di dare la possibilità di tenerci in contatto...

eccomi :D

scusa il ritardo, ho letto solo ora :)

1) Tanto per cominciare, ti sarai reso conto che il forum che hai scritto (in ogni caso se l'hai fatto per passatempo, complimenti) è un colabrodo per le sql injections :fagiano:

Di trucchi ti questo tipo ce ne sono tanti, e in sintesi temo che col tuo forum siano possibili pressocché tutti se non metti almeno i filtri essenziali :stordita:

esempio, pagina 'autentica.asp' (giusto una a caso...), riga 17:
i parametri passati alla query non sono controllati in alcun modo, sicché a quanto pare anche col semplice apice, carattere delimitatore del tipo stringa nell'sql, è possibile effettuare login con username a caso oppure eseguire comandi inattesi sul database (tipo cancellazioni, update, drop di tabelle :D), oltre che ad avere informazioni sul database ecc.

E' il classico errore in cui incappano tutti coloro i quali si cimentano con le prime cosette con pagine server...

considera che devi filtrare QUALSIASI parametro che vada poi inserito in una query costruita come stringa.
Per qualsiasi, intendo tutti i parametri passati alla procedura Asp sia via POST (cioé i normali forum) sia via GET, spesso trascurati sotto questo punto di vista (per parametri Get intendo quelli passati attraverso l'url della pagina nella barra dell'indirizzo, dopo il ?, cioé nella Request.QueryString).

Ovunque ci siano parametri non filtrati nelle tue pagine, è possibile far casini :fagiano:

2) e poi c'é che devi mettere il db in una cartella che non abbia i permessi di lettura via http (con possibilità di accesso solo via script), non pubblica, altrimenti chiunque se lo può scaricare e fare login con i vari account.

3) asphost lo cambierei in due secondi, se vuoi ti spiego live online perché, come feci con porny :D

Dimenticavo, in relazione al punto 2 aggiungo che la password di access non serve a un tubo :mbe:

Originariamente inviato da Nospheratu
eccomi :D

scusa il ritardo, ho letto solo ora :)

1) Tanto per cominciare, ti sarai reso conto che il forum che hai scritto (in ogni caso se l'hai fatto per passatempo, complimenti) è un colabrodo per le sql injections :fagiano:

Di trucchi ti questo tipo ce ne sono tanti, e in sintesi temo che col tuo forum siano possibili pressocché tutti se non metti almeno i filtri essenziali :stordita:

esempio, pagina 'autentica.asp' (giusto una a caso...), riga 17:
i parametri passati alla query non sono controllati in alcun modo, sicché a quanto pare anche col semplice apice, carattere delimitatore del tipo stringa nell'sql, è possibile effettuare login con username a caso oppure eseguire comandi inattesi sul database (tipo cancellazioni, update, drop di tabelle :D), oltre che ad avere informazioni sul database ecc.

E' il classico errore in cui incappano tutti coloro i quali si cimentano con le prime cosette con pagine server...

considera che devi filtrare QUALSIASI parametro che vada poi inserito in una query costruita come stringa.
Per qualsiasi, intendo tutti i parametri passati alla procedura Asp sia via POST (cioé i normali forum) sia via GET, spesso trascurati sotto questo punto di vista (per parametri Get intendo quelli passati attraverso l'url della pagina nella barra dell'indirizzo, dopo il ?, cioé nella Request.QueryString).

Ovunque ci siano parametri non filtrati nelle tue pagine, è possibile far casini :fagiano:

2) e poi c'é che devi mettere il db in una cartella che non abbia i permessi di lettura via http (con possibilità di accesso solo via script), non pubblica, altrimenti chiunque se lo può scaricare e fare login con i vari account.

3) asphost lo cambierei in due secondi, se vuoi ti spiego live online perché, come feci con porny :D
conosci un sitarello asp che offra funzionalità server, ftp, access e cose varie gratis migliore di questo? l'avevo trovato ma ho perso il sito:cry:

Originariamente inviato da IcEMaN666
conosci un sitarello asp che offra funzionalità server, ftp, access e cose varie gratis migliore di questo? l'avevo trovato ma ho perso il sito:cry:


Gratuito? Non saprei, è da qualche anno ormai che gestisco una rete di server aziendali, e quindi ne usufruisco :fagiano:

Originariamente inviato da Nospheratu
Dimenticavo, in relazione al punto 2 aggiungo che la password di access non serve a un tubo :mbe:



quoto questo perchè è più breve :D


quindi devo filtrare le query? lo faccio volentieri, devo solo capire cosa intendi :D (me lo puoi spiegare via pvt o icq o quellochevuoi? la cosa mi interessa particolarmente visto che sono vulnerabile ad una cosa che nemmeno conosco :fagiano: )

per il resto... proteggere una directory su 1asphost non so nemmeno se sia possibile (useranno win98 come web server :D), lo cambierei volentieri come hoster comunque, ma non so cosa prendere :( non ho trovato nulla di gratuito.. una volta c'era freeasphost, poi ha chiuso i battenti e non mi ha lasciato nemmeno riprendere la roba che avevo online :mad:


in ogni caso grazie della consulenza :)

nos ho corretto un pò l'autentica.asp, come ti sembra ora?

Originariamente inviato da lnessuno
nos ho corretto un pò l'autentica.asp, come ti sembra ora?

Fa cagare è pieno di buchi!:asd: :D :sofico:

Originariamente inviato da Thunderman
Fa cagare è pieno di buchi!:asd: :D :sofico:



sta buono che l'unico buco che conosci te è quello delle ciambelle :D

nos visto che mi sembra che te ne intendi, che te ne sembra di questo forum che feci io qualche anno fa?

(sempre se hai tempo/voglia di vederlo ovviamente)

non ho un host quindi ti do direttamente il codice

http://neos.altervista.org/athlon_forums_171b.zip

Originariamente inviato da lnessuno
sta buono che l'unico buco che conosci te è quello delle ciambelle :D

http://i2.1asphost.com/afpforum/smileys/susu.gif

Originariamente inviato da lnessuno
quoto questo perchè è più breve :D


quindi devo filtrare le query? lo faccio volentieri, devo solo capire cosa intendi :D (me lo puoi spiegare via pvt o icq o quellochevuoi? la cosa mi interessa particolarmente visto che sono vulnerabile ad una cosa che nemmeno conosco :fagiano: )

per il resto... proteggere una directory su 1asphost non so nemmeno se sia possibile (useranno win98 come web server :D), lo cambierei volentieri come hoster comunque, ma non so cosa prendere :( non ho trovato nulla di gratuito.. una volta c'era freeasphost, poi ha chiuso i battenti e non mi ha lasciato nemmeno riprendere la roba che avevo online :mad:


in ogni caso grazie della consulenza :)

ricordamelo quando mi rivedi nel forum, adesso mi trovo di passaggio da un amico :D

per il discorso dell'hosting, non puoi farci nulla dal momento che non puoi mettere mano sui webserve :fagiano:

sinteticamente: gli hosting gratuiti con supporto scripting server-side fanno tutti, indistintamente, cagare :D

ma, scusa: perché non ti fai un pc qualunque, ci metti su win2k, lo attacchi all'adsl (sempre se è buona), gli metti un 286 con una distro linux da floppy che faccia da firewall, blindi come si deve win2k...e ci metti su la tua applicazione asp con quel cavolo che ti pare? :D
anche se non hai ip statico che ti frega, puoi usufruire di un servizio di quelli gratuiti per dns dinamici, oppure ci metti un router che lo fa automaticamente.

Originariamente inviato da lnessuno
nos ho corretto un pò l'autentica.asp, come ti sembra ora?

Vabbeh, dai, te le tiri.... :asd:

Originariamente inviato da Python
nos visto che mi sembra che te ne intendi, che te ne sembra di questo forum che feci io qualche anno fa?

(sempre se hai tempo/voglia di vederlo ovviamente)

non ho un host quindi ti do direttamente il codice

http://neos.altervista.org/athlon_forums_171b.zip


quando sono a casa e ho qualche minuto gli dò un'occhiata ;)

Originariamente inviato da Nospheratu
Vabbeh, dai, te le tiri.... :asd:



fa ancora cagare? :fagiano:

gli ho messo aposto gli apici, eliminato la psosibilità di mettere tag html ( :fagiano: ), tolto gli spazi... di più, non saprei cosa fare :D

Passo successivo, prima di toccare il codice: cambia hoster :D

Scusa ma al limite prenditi uno spazio su aruba.....costa un'insalata annualmente e ha già cartelle pubbliche e non. (sempre per il db)

Originariamente inviato da -kurgan-

....


la madre dei rompicoglioni è sempre incinta ;)


Bellisssssima!

:D :D :D

Originariamente inviato da lnessuno
c'è uno che si diverte a cercare di rompermi il database del forum che ho fatto così a tempo perso, per tenere più che altro in contatto i compagni della mia ormai ex classe di programmatori.

il forum non ha nessuna sicurezza, non avevo nemmeno protetto con password il database perchè fondamentalmente non mi interessava, però ora la situazione inizia a farmi girare proprio i coglioni, è la seconda volta che entra e mi cambia le password degli utenti. non ho proprio voglia di mettermi a studiare protezioni strane, piuttosto lascio perdere quel forum e se ci vogliamo mettere d'accordo o sentirci per qualcosa facciamo per telefono.


cosa fareste voi al posto mio?
...cmq complimenti per il forum, veramente ben fatto ;)

Originariamente inviato da Frank1962
...cmq complimenti per il forum, veramente ben fatto ;)


:) grazie :)


a questo punto sto meditando se prendere davvero uno spazio su aruba... non mi serve un gran che, ma tanto costa davvero poco... guardavo i prezzi e sono decisamente abbordabili :)

però nos, se hai voglia di smanettare e trovi qualcosa nel codice dimmelo che mi fa piacere sapere queste cose :p

Originariamente inviato da lnessuno
:) grazie :)


a questo punto sto meditando se prendere davvero uno spazio su aruba... non mi serve un gran che, ma tanto costa davvero poco... guardavo i prezzi e sono decisamente abbordabili :)

però nos, se hai voglia di smanettare e trovi qualcosa nel codice dimmelo che mi fa piacere sapere queste cose :p


Tenendo conto che sei alle prime armi con lo sviluppo web, è inutile darti una lista :D

Comincia a prendere uno spazio web da pochi soldi per far qualcosa di più decente che con uno gratuito, e aspetta con trepidante ansia l'uscita della mia rivista internet dedicata allo sviluppo web /sicurezza :D

Originariamente inviato da Nospheratu
Tenendo conto che sei alle prime armi con lo sviluppo web, è inutile darti una lista :D

Comincia a prendere uno spazio web da pochi soldi per far qualcosa di più decente che con uno gratuito, e aspetta con trepidante ansia l'uscita della mia rivista internet dedicata allo sviluppo web /sicurezza :D



uff non è giusto, prima mi incuriosisci e poi ti tiri indietro... infame :D

ma è così insicuro? ma che razzo ci hanno insegnato al corso? argh! :eek:


cmq per la tua rivista sto già sbavando... di sicurezza non so proprio nulla, giusto quello che ci hanno insegnato a scuola... ma è quasi niente visto che era un corso in cui si imparava da zero a programmare, la sicurezza è passata in secondo piano :p

hai un sito di riferimento? :oink:

prima di denunciarlo fatti sentire di persona, ricorda le denuncie molto spesso segnano x sempre la vita a chi si becca la denuncia, io odio le denuncie sono molto più a favore di risolverre la questioni tra i diretti interessati e basta. ovvio che se poi continua denuncialo pure, significa che oltre che rompi cazzo e pure una testa di cazzo! ;)

ma l'ho già detto non mi interessa denunciarlo, in effetti anzi mi fa piacere che mi si debugghi un pò... mi ha dato fastidio il fatto che mi abbia cambiato tutte le password e abbia smanettato con i permessi, questo si. infatti quando lo vedo gli faccio il culo per quello :p


nos, ma secondo te è possibile modificare i dati contenuti in un database (quindi accedendo fisicamente ad esso perchè non c'è nessuno script che lo fa)? intendo... in modo che anche online rimanga tutto sballato... senza conoscere le password di ftp

Originariamente inviato da lnessuno
uff non è giusto, prima mi incuriosisci e poi ti tiri indietro... infame :D

ma è così insicuro? ma che razzo ci hanno insegnato al corso? argh! :eek:


cmq per la tua rivista sto già sbavando... di sicurezza non so proprio nulla, giusto quello che ci hanno insegnato a scuola... ma è quasi niente visto che era un corso in cui si imparava da zero a programmare, la sicurezza è passata in secondo piano :p

hai un sito di riferimento? :oink:


non ancora, è un progetto cui ho cominciato a pensare da alcuni mesi ma non penso di attivarlo prestissimo; questo sia perché sono molto incasinato col lavoro, e da ottobre con l'uni non migliora di certo il mio tempo libero... :D
e poi è una cosa che faremmo io e due miei connazionali, una rivista in tre versioni, inglese, italiano, e finlandese, e come puoi immaginare questo genere di cose non è semplice seguirlo con persone distanti...un bel po' esclusivamente via msn o giusto quando sono in finlandia
naturalmente in formato pdf, scaricabile gratuitamente nella versione base, con un abbonamento per una versione gold con dei contenuti particolari. ;)

mmmkey... allora hai qualche link da consigliarmi per rendere un minimo più sicuro il mio codice? la cosa mi interessa veramente :)

Originariamente inviato da lnessuno
mmmkey... allora hai qualche link da consigliarmi per rendere un minimo più sicuro il mio codice? la cosa mi interessa veramente :)


Link? Intendi di siti sullo svilippo web? Aspitalia, html, ma li conosci già.
E comunque tutta una serie di trucchi non si trovaano nei forum :fagiano: