Trzy godziny temu jeden z Wykopowiczów opublikował link do kolejnej testowej strony serwisu tworzonego przez Nabino. Wcześniej odkryliśmy i opisaliśmy testową wersję systemu obsługującego wybory, udostępnioną publicznie. Tym razem Wykopowicz Cronox trafił na testową witrynę Portalu Edukacyjnego Koszalin pod adresem https://koszalin.nabino.pl/pl/. Zasugerował także, że zdobycie uprawnień administratora nie powinno być trudne. Niedługo potem ktoś najwyraźniej poradził sobie z tym zadaniem, ponieważ obecnie adres https://koszalin.nabino.pl przekierowuje na stronę https://fuck.nabino.pl. Pogratulować.
Wpadka Nabino
Wydawało się nam, że po wpadce z systemem wyborczym wersje testowe innych stron Nabino zostaną zablokowane. Jak widać niektórzy uczą się powoli.
Komentarze
#tylkonocny
Są niezalogowani, więc wybiera im automatycznie #dzienny. A to rani moje oczy ;__;
Niezalogowani? A zakładkę „Mój Wykop” to Maciej ręcznie dopisał?
Maciej już nie ma nic do gadania ( ͡° ͜ʖ ͡°)
Takich błędów to ja nie popełniałem gdy nie wiedziałem jeszcze co to np array >_<
Ż. E. N. A. D. A
Popełniałeś tylko o tym nie wiedziałeś/wiesz :)
Redirect adekwatny to poziomu ogarnięcia:
maciek@Skiing-Yak:~$ curl -Ik https://koszalin.nabino.pl/pl/
HTTP/1.1 303 See Other
Date: Thu, 27 Nov 2014 21:55:16 GMT
Server: Apache
X-Powered-By: PHP/5.3.3
Set-Cookie: CAKEPHP=5hs9ocdm9kijie3fafd5nvbcl4; expires=Thu, 27-Nov-2014 23:55:16 GMT; path=/; domain=.nabino.pl; secure; HttpOnly
Location: https://fuck.nabino.pl/pl
Connection: close
Content-Type: text/html; charset=UTF-8
To ja mam do was takie pytanie. Jako firma robię serwis dla jakiegoś klienta. Klient nie posiada własnych serwerów, ani żadnej infrastruktury poza najprostszą – komputery osobiste pracowników + jakieś drukarki. Jego pojęcie o komputerach ogranicza się do wpisania adresu w przeglądarkę.
Jak mam mu wystawić do testów aplikację? Co mam mu wystawić prywatną serwerownię, gdzie przyjedzie i będzie sobie testował? Postawić mu VPN-a do mojej sieci (laptopy grupy kolegów, kod trzymamy w prywatnym repo na githubie). Co proponujecie, bo śmiać się to każdy potrafi, ale jakieś rozwiązanie poproszę.
O htaccess nie słyszałeś? Albo filtrowaniu ruchu po IP?
Tylko ten httacces, też trzeba zrobić dobrze, a nie tylko POST :)
Wystarczy najprostsza autoryzacja: https://wiki.apache.org/httpd/PasswordBasicAuth
Jak wy te serwisy piszecie, skoro nie wiecie o takich rzeczach? :D
Nie autoryzacja, a uwierzytelnienie.
#bekazwebdev Koledzy wyżej dobrze napisali, takie zabezpieczenia stykną. Jak Wy ti robicie bez znajomości takich podstaw? Może tak jak.firma, która ostatnio się ze mną kłóciła, że nie mogą spraqdzić responsywności strony.na urządzeniach mobolnych bo musieliby mieć wszystkie xD O wirtualizacji czy nawet generatorach online chyba nie słyszeli. A ja.nawet w tej branży nie siedzę i wiem.
Oni też dają klientom niezabezpieczone bety stron do testów (m.in. Jednej znanej piosenkarki z Polski).
A ja sie zgodze z koziolkiem. Co za roznica jezeli np. jest to aplikacja biznesowa do ktorej i tak trzeba sie zalogowac? Po co dodatkowa warstwa dostepu?
My wystawiamy zawsze kilka wersji testowych i sa one ogolnie dostepne.
Po to, że można przełamać zabezpieczenia aplikacji testowej łatwiej niż produkcyjnej (produkcyjna powinna być już po pentestach)
„Jego pojęcie o komputerach ogranicza się do wpisania adresu w przeglądarkę.” Polecam upewnić się, że ta osoba, przy swoim braku pojęcia nt technologii w której chce pracować, nie ma jakichś kosmicznych wyobrażeń nt tego co dostanie, bo w takim przypadku ciężko się dogadać. Lepiej się pracuje z wyedukowanymi klientami.
Użyj certyfikatów _klienckich_ SSL do ograniczenia dostępu do wersji testowej serwisu (a jeśli produkcji ma używać wąska grupa docelowa to do niej też). Jak umie wpisać adres w przeglądarkę to dwukliknąć na certyfikat przysłany przez ciebie mailem też będzie umiał, żeby zainstalował mu się w przeglądarce. Owszem, oznacza to, że musisz mieć https na serwisie, ale w 2014 roku każdy sajt, szczególnie mający jakiekolwiek formularze logowania, powinien. Nie musisz stawiać VPNów ani whitelistować IP. Szkoda, że tak mało ludzi tego używa.
hm…
http://pastebin.com/raw.php?i=bL8sxRPa
https://devilteam.pl/viewtopic.php?p=45718#p45718
Widzieliście co tam teraz na koszalin.nabino stoi? Znajome protokoly, co? ;)