Allegro: wyciek kodu źródłowego niektórych plików PHP

Dochodzą nas dziesiątki zgłoszeń od użytkowników Allegro, że przeglądając serwis, zamiast widzieć sparsowany kod HTML, użytkownikom zwracane są do pobrania pliki z kodem PHP. Nie ma powodu do paniki (przynajmniej na razie) dane nie zawierają poufnych informacji takich jak hasła czy e-maile.

saint z dodany: 05.08.2014, 14:41:58

Komentarze (79)

najlepsze

fr0st

05.08.2014, 14:56:32 via Android

Maciej psuje juz gdzieś indziej? ;-)

majorponury

05.08.2014, 19:16:23

@fr0st: efekt publikacji za pięć szesnasta.

piotrasz

05.08.2014, 21:32:35

@majorponury: Bardzo wątpliwe. Przypuszczam, że to sprawa adminów, a nie programistów... Nie wyobrażam sobie możliwości publikacji nieprzetestowanego kodu w przypadku tak dużej firmy.

Ciekawe

@Siegel: brakuje nagłówka X-Pay-Range

platynek

05.08.2014, 18:53:55

@Siegel: jak widac, nie znalezli jeszcze nikogo wartosciowego, skoro takie faile leca

varez

05.08.2014, 15:54:31

Allegro do dziś ma banalnego XSS-a, także spoko, skopany konfig serwera i trzymanie kodu w plikach *.inc po prostu PASUJĄ do ich stylu ( ͡° ͜ʖ ͡°)

ozzie

05.08.2014, 20:21:18

Ok widzę minusy, więc uzupełnie swoją wypowiedź. Kilkanaście lat temu częstą praktyką było nadawanie plikom php, które były dołączane do głównego programu rozszerzenia .inc. (Sam tak robiłem) Być może wywodzi się tak z przyzwyczajeń np. osób wcześniej piszących w C, gdzie pliki, które dołączało się do programu nadawano rozszerzenie .h.

To było tak dawno, że pewnie obecni administratorzy nie pamiętają tych czasów i nie przyszło by im do głowy, że ktoś mógłby

parsiuk

05.08.2014, 19:37:10 via Android

@hind: ano to, że można je pobrać a .php zawsze przjdzie przez parser. No chyba, że ktoś popsuje serwer, jak tutaj. :D

zegarmistrz001

05.08.2014, 20:14:24

honorowy programista wiesza się z własnym programem ( ͡° ͜ʖ ͡°)

ukradlem_ksiezyc

05.08.2014, 21:33:55

@zegarmistrz001:

Ło matko, nie mam aż tylu żyć. A i tak już się u kotów zapożyczyłem na niezłą ilość. Niedługo zaczną mnie ścigać.

tank_driver

05.08.2014, 20:37:59

@zegarmistrz001: kapitalne!

G.....o

konto usunięte 05.08.2014, 18:54:19

Oho, Maciej poszedł psuć Allegro xD

To się chłopcy popisali ( ͡º ͜ʖ͡º)

trawoolta

05.08.2014, 15:26:50 via iOS

Allegro pod względem bezpieczeństwa schodzi na psy. Dostaje sporo emaili wyłudzających dane logowania z emaili podrobionych chodź naprawdę trzeba sporo sie nagimnastykować aby odróżnić falsyfikat od regału. Nie ma gdzie tego zgłosić. Kompletnie z tym nie walczą bo jak gość straci kasę to nie ich sprawa. Kontak z allegro żaden.