|
דבר ראשון לאחר שאגיב אבקש שאת המשך הדיון נעשה בה"פ מכיוון שהאשכול כבר נהפך לצפוף.
xPerfection: כמו שאמרתי, אני לא עובר על הקוד של מערכת, אני מבצע את כל הבדיקה ללא שום גישה לשרת.
בנוגע להגדרות - לא, לא רק זה (וגם ה-SAFE MODE או OPEN_BASEDIR מכובה זה לא ה-בעייה [עם הדגשה על "ה-"]). מידי פעם יש שרתים לא מעודכנים מבחינה כלשהי - בגירסא של דבר כלשהו - ואנסה לראות אם אוכל לנצל את זה.
כמו כן, אנסה לראות אם אוכל לגרום עומס על השרת בקלות מאוד.
שמע, אני מנסה להתעסק עם כל מידע שמועבר, מזה הסקתם את מה שאתם רוצים (ועדיין לא השתמשתי ממש במושג כלשהו). אמרתי שאני אתעסק בכל קלט שמגיע, והעובדה היא שכמו שאמרתי - אם אחד האתרים הגדולים בארץ, אחד מאתרי המאמרים המובילים בארץ, אחד מאתרי האוניברסיטאות - ולכולם יש מכנה משותף של חור אבטחה שדווח ותוקן - כנראה שמה שאני עושה מסתכם ביותר מדבר "כזה פשוט".
אני לא משתמש בשום תוכנה חיצונית (חוץ מ-WireShark), הכל נעשה HAND-MADE.
אז עוד פעם - אני מנסה לעשות עבודה שתקיף כל דבר אפשרי. שכל קלט אני אבדוק מה יכול לגרום לבעיות - מה לא טבעי,
אולי יש flaw ב encoding שיתן לי אפשרות לבצע פעולה עויינת.
וכו' וכו'. העניין הווא שכנראה - ורק כנראה - אם הרמה של הדברים שאני עושה היא כל כך פשוטה, זה דיי "מפחיד" שהם נמצאו ב-3 אתרים שכבר הזכרתי כאן מספר פעמים.
|