mboost-dp1

unknown

Dårlig sikkerhed på Scor.dk

- Via Computerworld DK -

Det har vist sig at man uden de store evner inden for ASP programmering, kan få adgang til alle billeder på scor’s hjemmeside, ca. 30.000 intime billeder. Via FSO og ASP kan man ovenikøbet få linket billeder og profiler sammen, og så er det jo bare at åbne sin egen portal hvor man sælger brugerprofilerne.

Lars Castenlund fra Scor udtaler, at de er klar over at der er en brist, men at de ikke kan benytte sig af sikre databaser. Årsagen skulle være at deres side genererer rigtig meget trafik, fra deres ugentligt ca. 62.000 unikke brugere, så den slags kan lade sig gøre på små systemer med 40 billeder, ikke deres.





Gå til bund
Gravatar #1 - Yasw
16. dec. 2002 08:26
Ikke kan benytte sig af sikre databaser? LOL eller noget.
Gravatar #2 - madd
16. dec. 2002 08:36
Hm. Tåbeligt at fremhæve ASP på den måde. Mon ikke det kunne lade sig gøre med en go del flere programmeringssprog?
Gravatar #3 - jensendk
16. dec. 2002 08:40
Typisk scor.. HAr alle dage været præget af dårlig programmeringsteknik, lousy administration og generelt ringe indsigt i andet end penge..
Gravatar #4 - west
16. dec. 2002 08:51
Og ASP bliver negativt fremhævet lige præcis hvor ???
Gravatar #5 - drzero
16. dec. 2002 08:57
Hvad helvede er det for noget fis?.. siden hvornår er meget trafik blevet ensbetydende med at man bliver nødt til at gå på kompromis med sikkerheden?

Smid dog for helvede nogle linux eller freebsd boxe op med apache, mod_php og mysql/postgresql, og find så nogen der fatter at programmere og få dem til at lave et ordentligt system..
Gravatar #6 - Yasw
16. dec. 2002 08:58
Ikke nogen der lige laver et mirror af alle de billeder mens tid er ? :)
Gravatar #7 - Sputler
16. dec. 2002 09:04
#4

Hvor er det lige du finder et negativtklingende ord? Måske er jeg blevet ordblind.... ;op
Gravatar #8 - Naish
16. dec. 2002 09:04
Tja, jo ja...

Jeg kender sites som bliver ramt af flere hits end scor.dk kan drømme om, og de er stadigvæk sikre.

Man kan kun ryste på hovedet og gå grinene væk..

Det er naturligvis knap så sjovt når ens profil, med billedet af Dunkedyret bliver lagt frem til offentlig skue :)
Gravatar #9 - lchili
16. dec. 2002 09:10
Smid lige et link til et site med alle billderne :-) der må da være en eller andet der har rippet dem
Gravatar #10 - lchili
16. dec. 2002 09:22
har set de fejl jeg lavde før! men det gik lidt hurtigt! sorry.....

Også taler vi ikke mere om det!

kom så med det link!!!!!
Gravatar #11 - CableCat
16. dec. 2002 10:03
det lyder som om det er tid til at flette et lille wget script sammen.
Gravatar #12 - lchili
16. dec. 2002 10:05
Ja gør lige det, så vi andre som ikke er ASP nørder kan se de skide billeder............

Kender nogen derinde som jeg bare bliver nød til at se! men jeg gider ikke selv melde mig ind i det lort!!!!
Gravatar #13 - Lonestar
16. dec. 2002 10:12
#5

Hvorfor var det lige at man ikke skulle kunne lave et sikkert site på IIS / ASP ?

Jeg er til daglig administrator af ca 30 webservere hos en større Dansk virksomhed, og så længe vi holder vores servere opdateret, har vi ikke større problemer med sikkerhed på win2k/iis end vi ville have på hvilket som helst andet OS....

Ang. load vil jeg sige at IIS klarer opgaven udmærket......
Gravatar #14 - Wolly
16. dec. 2002 11:09
LOL for en undskyldning!!!!

Det er da det dummeste jeg har hørt, han kan da ikke have lavet den udtalelse til newz.dk... I så fald burde han da vide at der er MANGE nørder herinde der ved at han er et fjols :-)
Gravatar #15 - Gecko
16. dec. 2002 11:32
Tja, det er svært at sige om det virkelig er så usikkert... Denne simple asp ting henter billederne via et piccrypt program, som krypterer billednavnene. Hvis man kan bryde den, er det vel simpelt nok...
Gravatar #16 - El_Coyote
16. dec. 2002 11:44
det er nok ikke alle folk der ville blive glade for newz hvis links til ripped materiale blev posted her...
Gravatar #17 - Insight
16. dec. 2002 11:52
hmm så send den bare til mig privat :)
Gravatar #18 - Mr.Weasel
16. dec. 2002 12:00
Hmmm jo.... dvs scor.dk mener kun at databaser er nyttige for små virksomheder. Det tror jeg firmaer som Oracle bliver ked af at hører. Jeg tror mere det handler om at de ikke gider betale prisen for en database server der er stor nok. Hele ideen med at bruge databaser skulle jo gerne være at de er mere effektive end bare at have ting i filer.

At de i det hele taget har lavet det uden database til at begynde med forstår jeg så heller ikke. Database er da meget nemmere at bruge.
Gravatar #19 - SaD
16. dec. 2002 12:03
Hmmm, jeg har lige skrevet til et andet dating-site at man kan gøre fuldstændigt det samme der.
Vil I vide hvilket?
Vil I vide hvordan?

Det får I ikke :)
Gravatar #20 - Kisbye
16. dec. 2002 12:06
Nå det lyder jo ikke somom de har tænkt sig at gøre noget ved det.

Så har man jo god tid til at finde ud af hvordan. :)
Gravatar #21 - Crapz
16. dec. 2002 12:23
hmm man kan meget nemt se folk profil Pic i stor udgave hvis man alså har løst til det :)

ikke fordi jeg har kigge på det :)

Men hvis man står på en profil og ser et pic man vil se i stor udgave, så skal man ikke kigge i kilde kode og søge efter ID=50 og copy&pas det link der kommer lige efter ind i et IE adresse felt :)

//Crapz :)
Gravatar #22 - XyborX
16. dec. 2002 13:01
#21
Ok. Det skal vi nok lade være med at gøre. :)
Gravatar #23 - Crapz
16. dec. 2002 13:23
Det var godt :)
Gravatar #24 - sphinx
16. dec. 2002 14:28
PM mig et link, bede om! ;)

Det er sq godt nok kun kassen han tænker på at score, den gut der kører fortagendet. Hvilken komplet idiot. Mage til idioti skal man sq da lede længe efter.
Gravatar #25 - Acro
16. dec. 2002 15:33
#5:Muligt de bare skulle lave et script der sikrede deres nuværende server.

Du har tydeligvis ikke fattet at hullet består i at alle billeder ligger i en tilgælngelig mappe.

Det er muligt at åbne en sådan mappe, på alle servere.
Gravatar #26 - Regus
16. dec. 2002 16:05
Jøsses mand de fatter da hat...

hvis de vil have en simpel sikker og high performance billig løsning så skal jeg da gladeligt skrive dem en lille super simpel ISAPI extension der henter dem ud fra et sikkert bibliotek mod f.eks. username og password... og det vil sikkert performe mellem 97% og 98% af deres nuværende system...
Gravatar #27 - drzero
16. dec. 2002 16:28
#25:

Jo, det har jeg skam fattet, og til forskel fra dig har jeg også læst artiklen - der står at de er blevet anbefalet at benytte en database, hvilket de afslår da "Det kan ikke lade sig gøre på et site med så meget trafik". Det er noget crap - derfor jeg foreslår at de skifter til et rigtigt server OS.

Ja, de kan bare sikre det dir, men nu var der tale om brug af database servere...
Gravatar #28 - Kisbye
16. dec. 2002 16:54
#21:
LoL man.
Det har du sku ret i.
Men det betyder jo også at de ikke resize'er de små billeder.

Det er da godt nok amatøragtigt lavet.
Gravatar #29 - Peter_Pan
16. dec. 2002 17:11

PM mig et link, bede om! ;)
Gravatar #30 - Acro
16. dec. 2002 17:17
#27:
DU forstår stadig ingenting, jeg har læst BEGGE artikler - og snakket med Scor.dk, så kom ikke og sig at JEG er uvidende.

Desuden findes der mange gode database-servere til Windows, så det er bare Scor.dk der er uvidende, de behøver ikke at skifte.

De er desuden ikke blevet anbefalet at skifte, men journalisten har mumlet om en Access-database med blob-felter, den løsning ville jeg også afslå.
Gravatar #31 - LABAN
16. dec. 2002 17:21
huh min browser laver underlige ting, ved ikke om der kommer 1000000000 posts....
men please oh please PM link til mig :]
Gravatar #32 - adrinator
16. dec. 2002 18:31
En der gider sende mig løsningen via newz.dk's msg system. Kan godt se hvordan ID=50 virker, men kan sq ikke lige regne deres namesystem ud, id skal jo hele tiden skiftes. Well, vil sq godt lige have 30.000 pics til næste LAN :)
Gravatar #33 - mogwaiz
16. dec. 2002 18:55
#29

Me to :]
Gravatar #34 - Atomfly
16. dec. 2002 19:19
Yeah me to :-)

Det ville da være nice se nogle frække amatør danske piger... hehe..
Gravatar #35 - Mysterio
16. dec. 2002 20:12
ja ja scor.dk sux

jeg vil kun vide en ting,

hvor kan jeg finde de 30.000+ billeder ?
Gravatar #36 - Blue.
16. dec. 2002 20:15
ja, hvis nogle ligger inde med de billeder, kunne I godt tage at dele dem med vi andre ;)
Gravatar #37 - mindbeat
16. dec. 2002 22:28
Øhhh 62000 besøgene om ugen er altså ikke det helt store jeg har sq sider der har 100k om dagen. og de er sq fint beskyttet....
Gravatar #38 - Decarbonizer
16. dec. 2002 22:55
Ja del lige med os andre
danske piger er sgu dejlige :)
Gravatar #39 - madd
16. dec. 2002 23:15
ja, kom så - del dem :)

det kan om end ikke være så svært at lave hvis du finder systemet. har ikke taget mig sammen til at oprette en bruger derinde - og kommer nok heller aldrig til.
Gravatar #40 - The_Menace
17. dec. 2002 07:55
jeg tror ikke at de 30000+ billeder kun er af piger - scor.dk er sku ikke andet end lebber og bøsser...
men lebber er vel også en slags pige...
Gravatar #41 - Kisbye
17. dec. 2002 08:15
lebber er også en slags bøsser...
Gravatar #42 - SnoTz
17. dec. 2002 08:19
...Bøsser er vel også en slags pige
Gravatar #43 - seahawk
17. dec. 2002 08:59
Bare lige til alle jer der vil have links: I ER vel klar over at i er i gang med at tiltvinge jer adgang til ting i ikke må se, OG at det kan give et par års fængsel?

At der er et sikkerhedshul i et system, giver på ingen som helst måde ret til at benytte sig af det - så hvis i aktivt skal foretage jer noget for at tiltvinge jeg adgang(og det lyder det som - ellers ville så mange nok ikke spørge), bryder i klart loven.

Og lige en sidste ting - i vil være utroligt lette at spore via logfilen - det skulle ikke være meget mere end en lille times scripting der skulle finde 99% af jer...
Gravatar #44 - Kisbye
17. dec. 2002 09:15
#43:
Citat fra Artiklen:

Hos Protego mener man ikke engang, at søgningerne er ulovlige, fordi man netop ikke skal omgå passwords eller på anden måde grave ned i sikrede databaser.

Men:

Teknisk er mulighederne uendelige. Uvedkommende kan distribuere de mange tusinde billeder på cd-rommer eller i nyhedsgrupper. Juridisk vil det dog være ulovligt, fordi Scor.dk har ophavsret på de billeder, der gemmes på sitet.
Det burde altså være lovligt så længe man ikke distribuere billederne...
Gravatar #45 - seahawk
17. dec. 2002 10:34
#44:

Nu er det jo et sikkerhedsfirma der udtaler sig om jura - så bare fordi de mener at det er lovligt GØR det ikke lovligt - prøver lige at finde paragraffen jeg vil tro den falder ind under!

Sagen er at det er lidt svært at vurdere hvordan exploiten er. Mit argument var bare at hvis der er 10 folk her der spørger om hvordan, må det alt andet lige kræve noget aktivt - og dermed være lovstridigt! :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login