Вход на сайт
Взлом сайта потенциального Arbeitgeder
225
NEW 29.09.07 14:00
Доброго всем.
Модераторам, сохраять спокойствие, топик законен
На форуме Право эта тема мной была обозначена, рекомендовали заглянуть сюда.
ссылка на топик: http://foren.germany.ru/showflat.pl?Cat=&Board=legal&Number=9080816&page=0&view=...
Кратко:
закончилось все мнением
Что скажите, уважаемые?
Модераторам, сохраять спокойствие, топик законен
На форуме Право эта тема мной была обозначена, рекомендовали заглянуть сюда.
ссылка на топик: http://foren.germany.ru/showflat.pl?Cat=&Board=legal&Number=9080816&page=0&view=...
Кратко:
В ответ на:
Пишу бевербунг на одну из фирм (на должность программиста, в том числе и для web)
Фирма имеет несколько печатных изданий, у каждого из которых есть собственный сайт.
Хожу по сайтам, смотрю на чем написаны, какие технологии используются, чтобы примерно представлять, с чем придется работать.
Пробую один из сайтов на "дырявость" и ... О БОЖЕ , при первом же самом примитивном тесте на безопасность, получаю права Админа на этом сайте.
Ну поулыбался про себя, что кто ж им такое навоял, ничего на сайте не портил, дальше эксперементы не проводил, и так ясно, что раз тривиальной защиты нет, то там дыра на дыре.
Вот теперь думаю, стОит ли в бевербунге написать что-то типа:
Ich bin auch ein Fachmann für Web-Sicherheit.
Ich habe einige Ihre Webseiten angeschaut und grobe Fehler gefunden, durch die man die Seiten "knacken" und ihre Innhalt verändern kann. Wenn Sie daran interessiert sind, kann ich in der Praxis demonstrieren, wie man ein Administrator einer Ihren Seiten werden kann
Не возникнет ли у работодателя, после прочтения сего опуса, желание обратиться в полицию?
Другими словами - когда наступает ответственность: за порчу, хищение, изменение и т.п. программного кода, либо же достаточно того, что был несанкцианированый доступ на сайт, без каких-либо последствий для последнего?
Пишу бевербунг на одну из фирм (на должность программиста, в том числе и для web)
Фирма имеет несколько печатных изданий, у каждого из которых есть собственный сайт.
Хожу по сайтам, смотрю на чем написаны, какие технологии используются, чтобы примерно представлять, с чем придется работать.
Пробую один из сайтов на "дырявость" и ... О БОЖЕ , при первом же самом примитивном тесте на безопасность, получаю права Админа на этом сайте.
Ну поулыбался про себя, что кто ж им такое навоял, ничего на сайте не портил, дальше эксперементы не проводил, и так ясно, что раз тривиальной защиты нет, то там дыра на дыре.
Вот теперь думаю, стОит ли в бевербунге написать что-то типа:
Ich bin auch ein Fachmann für Web-Sicherheit.
Ich habe einige Ihre Webseiten angeschaut und grobe Fehler gefunden, durch die man die Seiten "knacken" und ihre Innhalt verändern kann. Wenn Sie daran interessiert sind, kann ich in der Praxis demonstrieren, wie man ein Administrator einer Ihren Seiten werden kann
Не возникнет ли у работодателя, после прочтения сего опуса, желание обратиться в полицию?
Другими словами - когда наступает ответственность: за порчу, хищение, изменение и т.п. программного кода, либо же достаточно того, что был несанкцианированый доступ на сайт, без каких-либо последствий для последнего?
закончилось все мнением
В ответ на:
можешь говорить только о своих подозрениях о ненад╦жности скриптов
если попросят обосновать - полезешь сделаешь админа и покажешь
сам не трогай ничего.
спроси на вебдизайн - может кто поможет красиво обосновать "подозрения"
можешь говорить только о своих подозрениях о ненад╦жности скриптов
если попросят обосновать - полезешь сделаешь админа и покажешь
сам не трогай ничего.
спроси на вебдизайн - может кто поможет красиво обосновать "подозрения"
Что скажите, уважаемые?
Не говори того, о чем не имеешь понятия...
NEW 29.09.07 17:41
произойдёт следущее..
1. как только ты скажешь что сайт дырявый и что можешь туда зайти сразу же получить anzeige ╖ 202a StGB (Ausspähen von Daten). А если зделаешь ешё себя админом то сразу же ╖ 303a StGB (Datenveränderung) in Tateinheit mit ╖ 202a StGB (Ausspähen von Daten). В зависимости от размера фирмы и если они работают в основном через веб то даже ╖ 303b StGB (Computersabotage) схлопотать можно..
2. скорее всего будет тот человек который поставил скрипты и решать брать тебя на работу или нет.. и если ты ему в первый же день подосрал то не ожидай положительного ответа..
так что.. ни слова о дырках.. можешь мне верить.. с такими делами сталкиваюсь ежедневно..
а в своём бевербунге напиши конечно что ты спец по безопасности..
1. как только ты скажешь что сайт дырявый и что можешь туда зайти сразу же получить anzeige ╖ 202a StGB (Ausspähen von Daten). А если зделаешь ешё себя админом то сразу же ╖ 303a StGB (Datenveränderung) in Tateinheit mit ╖ 202a StGB (Ausspähen von Daten). В зависимости от размера фирмы и если они работают в основном через веб то даже ╖ 303b StGB (Computersabotage) схлопотать можно..
2. скорее всего будет тот человек который поставил скрипты и решать брать тебя на работу или нет.. и если ты ему в первый же день подосрал то не ожидай положительного ответа..
так что.. ни слова о дырках.. можешь мне верить.. с такими делами сталкиваюсь ежедневно..
а в своём бевербунге напиши конечно что ты спец по безопасности..
NEW 29.09.07 18:42
в ответ Немец 29.09.07 17:41
Ок.
Формулировка типа:
Использованые Вами формы авторизации потенциально небезопасны. В случае вашего желания, готов протестировать ваш сайт на уязвимость.
Не вызовет оснований для привличения к ответственности?
Формулировка типа:
Использованые Вами формы авторизации потенциально небезопасны. В случае вашего желания, готов протестировать ваш сайт на уязвимость.
Не вызовет оснований для привличения к ответственности?
Не говори того, о чем не имеешь понятия...
29.09.07 20:21
в ответ kamanch 29.09.07 14:00
Сразу показывать им дыры в скриптах я думаю не обязательно. Правильно сказали, можешь упомянуть, что ты спец по безопасности.
Имхо самому об этом им говорить не стоит, если попросят, то пожалуйста. И совсем не обязательно, что тот кто делал эти сайты будет принимать тебя на работу, ведь могли и на стороне где-то заказать.
В ответ на:
Ок.
Формулировка типа:
Использованые Вами формы авторизации потенциально небезопасны. В случае вашего желания, готов протестировать ваш сайт на уязвимость.
Не вызовет оснований для привличения к ответственности?
Ок.
Формулировка типа:
Использованые Вами формы авторизации потенциально небезопасны. В случае вашего желания, готов протестировать ваш сайт на уязвимость.
Не вызовет оснований для привличения к ответственности?
Имхо самому об этом им говорить не стоит, если попросят, то пожалуйста. И совсем не обязательно, что тот кто делал эти сайты будет принимать тебя на работу, ведь могли и на стороне где-то заказать.
NEW 30.09.07 11:40
в ответ kamanch 29.09.07 14:00
не советую писать.
это тоже самое, что грабитель бынка сам признаётся и ещё в письменной форме :)
по закону это запрещенно. Если у них пропадут какие либо данные или их система бахнется, то ты будешь отвечать за это, так как сам написал, мол ломал. Оно тебе совсем не нужно.
Если ты будешь работать на этой фирме, на соответствующей должности, то можешь предложить работу по тестированию на безопастность и если ты потом найдёшь что то, то это будет большой плюс для тебя и подымет твой вес в глазах работников фирмы.
А сейчас руки прочь от ихнего сайта.
Единственное, ты можешь им написать общие сведения по безопастности, но это так палка в двух концах. Могут подумать, что ты их пытаешься раскрутить на деньги. Тогда выстрел в твою сторону будет больным.
это тоже самое, что грабитель бынка сам признаётся и ещё в письменной форме :)
по закону это запрещенно. Если у них пропадут какие либо данные или их система бахнется, то ты будешь отвечать за это, так как сам написал, мол ломал. Оно тебе совсем не нужно.
Если ты будешь работать на этой фирме, на соответствующей должности, то можешь предложить работу по тестированию на безопастность и если ты потом найдёшь что то, то это будет большой плюс для тебя и подымет твой вес в глазах работников фирмы.
А сейчас руки прочь от ихнего сайта.
Единственное, ты можешь им написать общие сведения по безопастности, но это так палка в двух концах. Могут подумать, что ты их пытаешься раскрутить на деньги. Тогда выстрел в твою сторону будет больным.
NEW 30.09.07 22:53
в ответ kamanch 29.09.07 14:00
Что скажите, уважаемые?
------
Не со стороны закона, но по ситуации - ты говоришь потенциальному работодателю, что ты _уже_ выполнил какую-то работу. В 99.9% - на это последует отказ в приеме на работу. Даже если принимать будет не тот, кто ответственен за этот участок. Просто таков один из психологических моментов у работодателя...
------
Не со стороны закона, но по ситуации - ты говоришь потенциальному работодателю, что ты _уже_ выполнил какую-то работу. В 99.9% - на это последует отказ в приеме на работу. Даже если принимать будет не тот, кто ответственен за этот участок. Просто таков один из психологических моментов у работодателя...
