Michal Zalewski wrote:
>> A jak podam linka typu http://hack.pl/000/ to przy odrobinie pecha
>> 'przełamuję zabezpieczenia portalu hack.pl' (czy tam inny współudział)?
>> No ja Cię proszę...
> A jak podasz linka typu:
> https://hack.pl/_admin/login.php?user=admin&pass=admin
> ...a jak admin123? a jak AdmiN321? A jak sprawdzisz 100 innych kombinacji?
> A jak uzyjesz POST i onLoad=form.submit()?
Tylko, że tego nie robili... Żadnego przekazywania parametrów.
> Rzecz w tym, ze zaden z tych przypadkow nie jest jasny, i ciezko nakreslic
> jakakolwiek czysto techniczna granice, gdzie konczy sie "niewinny link" i
> zaczyna "proba wlamania".
Nie no, to oczywiste. Taki fach.
> To, co w tej sytuacji gra role i czym zapewne kierowalby sie sad, to
> kwestia zamiaru - rozroznienia miedzy przypadkiem albo zwykla ludzka
> ciekawoscia, a usilna i zdeterminowana proba przelamania zabezpieczen.
Proszę, nie mówmy o zabezpieczeniach w tym przypadku. To jest poziom rot13.
> I w tym wlasnie sensie hack.pl skladajac swoja propozycje nie do
> odrzucenia strzelil sobie w stope.
Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
gania po sądach 'pryszczersów' jak któryś napisze Microshit?
Received on Fri Apr 13 20:20:07 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 13 Apr 2007 - 20:40:02 MET DST