Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu.

Niestety na froncie walki o wolność słowa w internecie bez zmian - w serwisie Albicla.com identyfikowane są kolejne katastrofalne błędy, a w sieci pojawiła się paczka kodu źródłowego serwisu. Ta historia wydaje się nie mieć końca.

t.....y z dodany: 22.01.2021, 12:53:30

189
Odpowiedz

Komentarze (189)

najlepsze

Qraape

22.01.2021, 16:17:11 via Wykop Mobilny (Android)

Stacja dziesiąta, Ajsenbiśla upada z hasłem po raz trzeci.

Avil

22.01.2021, 13:24:59 via Wykop Mobilny (Android)

Można prosić ten kod źródłowy? Kolega pyta ( ͡° ͜ʖ ͡°)

yupitr

22.01.2021, 14:19:26

@Avil: mój kolega również pyta o kod ( ͡° ͜ʖ ͡°)

Snowdr0p

22.01.2021, 15:37:05

@Avil: @yupitr: @s3b4: http:/kodalkibla.pl

Sierran

22.01.2021, 13:48:18

Można prosic o kod źródłowy i aktywacje konta? Kolega by chciał ( ͡° ͜ʖ ͡°)

muak47

22.01.2021, 13:39:21 via Android

Błędy SQLi są nawet w formularzu logowania (co pozwala m. in. na zatwierdzenie konta bez potrzeby odbierania emaila),

Jak? Moze dzieko temu po 2 dniach uda sie w koncu zarejstrowac (✌ ﾟ ∀ ﾟ)☞

spunky

22.01.2021, 17:46:51

Zostawcie tego biednego programistę. Nie nadąża tych haseł zmieniać ( ͡º ͜ʖ͡º)

ixtras

22.01.2021, 16:33:32

Inni płacą za audyty bezpieczeństwa krocie a tutaj robią im audyt za darmo :-)

remul

22.01.2021, 21:18:57

@ixtras: Płatny audyt tym się różni od darmowego że po jego zakończeniu tylko ty i audytor znacie podatności serwisu. W przypadku darmowego - znają go wszyscy. Czasem jednak warto zapłacić za audyt. ( ͡° ͜ʖ ͡°)

ixtras

23.01.2021, 00:15:28

@remul: za darmo jedni napisali, a drudzy za darmo audytują ;-) jedyny koszt jest taki ze wszyscy do około wiedzą

gusioo

22.01.2021, 13:47:22

Próbował ktoś założyć konto z "drop table"? :D

RandomizeUsr0

22.01.2021, 15:20:24

@gusioo: już było "login", które powodowało wylogowania bieżącego usera i "usun-konto", po kliknięciu w które działo się to co napisane :)))))))

gusioo

22.01.2021, 19:30:28 via Wykop Mobilny (Android)

@RandomizeUsr0: lol, prawdziwy #programista15k to pisał (⌐ ͡■ ͜ʖ ͡■)

Sargon_Ankro

22.01.2021, 13:31:59

wolność słowa

hmmm..

w sumie loginy i hasła na albicli to też słowa, więc są wolne i można z nimi robić co się chce ;D

bykomstop

22.01.2021, 19:03:26

@Sargon_Ankro: ale już wolnego kodu nie zrobili, chociaż może przez przypadek już jest open source :D

Maxior13

22.01.2021, 15:14:36

Nie wiem jak oni to pchają na produkcję, ale wdrożenie automatycznych security testów w CI/CD to jest chwila. Chyba jednorazowe odpalenie skanera przed releasem to też nie problem? Jest OWASP Dependency Check do bibliotek, jest sqlmap, jest OpenVAS, pewnie mogliby na trialowej wersji Burp Suite Pro dużo podatności wykryć. Są też gotowce z przykładowym kodem i wylistowane najpopularniejsze błędy bezpieczeństwa na https://cheatsheetseries.owasp.org/Glossary.html.

S.....y

konto usunięte 22.01.2021, 15:23:49

@Maxior13: Podejrzewam (bo kodu jeszcze nie widziałem), że jakakolwiek analiza statyczna tego kodu sypie taką ilością błędów i niedoróbek, że im się po prostu nie chce przekopywać ( ͡° ͜ʖ ͡°)

Ewentualnie próbują, ale są za słabi albo po prostu fizycznie nie wyrabiają.