Nội dung sẽ gửi tới anh toannv
[QUOTE=~vai~;288947]Nội dung sẽ gửi tới anh toannv[/QUOTE]
lỗi gì nghe kinh thế 
[QUOTE=12520428;288989]lỗi gì nghe kinh thế :D[/QUOTE]
hình như lỗi này, nó vào inbox của mình :">
ch*****hexanh . vn/ news ? program= 3 Sql injection. Mong anh fix giùm.
[QUOTE=10520058;288991]hình như lỗi này, nó vào inbox của mình :">[/QUOTE]
Em là sv trường mình k7. Lâu lâu ghé thăm các web mới ra lò test thử thì dính lỗi bảo mật cực kì nghiêm trọng.
Dĩ nhiên em ko sài tk sinh viên trường mình cấp đâu sợ bạn bè…
[QUOTE=~vai~;288998]Em là sv trường mình k7. Lâu lâu ghé thăm các web mới ra lò test thử thì dính lỗi bảo mật cực kì nghiêm trọng.
Dĩ nhiên em ko sài tk sinh viên trường mình cấp đâu sợ bạn bè…[/QUOTE]
Đáng lẻ 10520058 phải cảm ơn em K7 mới đúng chứ nhỉ. Vì VPD báo site này bạn phụ trách. Do đó tin báo của ~vai~ đc Tôi gởi cho VPD , rồi VPD fwd cho 10520058. 10520058 post nguyên nội dung lên cứ như mình vô can, …
:aboom:
Em không public lỗi cho ai hết. Nếu web bị tấn công [MENTION=8757]10520058[/MENTION] chịu trách nhiệm vì không giữ thông tin bảo mật. ==>"ch*****hexanh . vn/ news ? program= 3 Sql injection. Mong anh fix giùm. "
Trong Sql injection còn tiếm ẩn lỗi tấn công người dùng chiếm cookie - tấn công admin.
… leo thang đặc quyền chiếm root thì em không chịu trách nhiệm.
Thông tin anh public như thế này thì cho dù anh cho ********** người ta vẫn tìm ra dược site .vn để tấn công.
Em có đôi lời thế thôi. Mong sửa nhanh kẻo có người phá hoại.
[QUOTE=~vai~;289046]Em không public lỗi cho ai hết. Nếu web bị tấn công [MENTION=8757]10520058[/MENTION] chịu trách nhiệm vì không giữ thông tin bảo mật. ==>"ch*****hexanh . vn/ news ? program= 3 Sql injection. Mong anh fix giùm. "
Trong Sql injection còn tiếm ẩn lỗi tấn công người dùng chiếm cookie - tấn công admin.
… leo thang đặc quyền chiếm root thì em không chịu trách nhiệm.
Thông tin anh public như thế này thì cho dù anh cho ********** người ta vẫn tìm ra dược site .vn để tấn công.
Em có đôi lời thế thôi. Mong sửa nhanh kẻo có người phá hoại.[/QUOTE]
web này từ hè năm ngoái đã có report trước khi mình làm rồi bạn, mình chỉ không ngờ người năm giữ trước không hề làm gì cũng như báo cho mình biết lỗi này, hiện tại đã cài modsec để phòng, vấn đề lớn là từ source code không phải từ server, cũng seperate các process sang user khác, trước bạn cũng đã có khá nhiều người tấn công rồi, thật sự cảm ơn bạn đã báo, một bài học khá hay cho mình 
Việc một web bị tấn công thì dù công bố hay không cũng đã bị rồi, tức là dữ liệu đã mất, đó không phải bug ẩn, thì vấn đề không phải là công bố hay không mà là fix hay không
[QUOTE=toannv;289026]Đáng lẻ 10520058 phải cảm ơn em K7 mới đúng chứ nhỉ. Vì VPD báo site này bạn phụ trách. Do đó tin báo của ~vai~ đc Tôi gởi cho VPD , rồi VPD fwd cho 10520058. 10520058 post nguyên nội dung lên cứ như mình vô can, …
:aboom:[/QUOTE]
thầy nên nói rõ rằng em phụ trách phần server, secure server khác với secure code từ source, em không chối bỏ trách nhiệm, nhưng điều đầu tiên em nói rõ là em không thiết lập config từ đầu, em nhận lại và trong yêu cầu ghi rõ là đảm bảo vận hành, mong thầy nói lại cho rõ, hiện đã thực hiện các biện pháp tạm thời, về lâu dài phải kiểm tra lại toàn bộ mã nguồn của site, không hề có một filter input nào, cũng không có một tầng middleware nào thì dù server có sec mấy đi nữa cũng vẫn phải chịu chết
Dù 10520058 có nói gì đi nữa thì hành động:
*Công khai nguyên xi cái nội dung bạn ~vai~ -> Tôi -> VPĐ -> 10520058 –> fourm *
là hành động đầy chất “trẻ trâu” :choler: (Tôi dùng từ nhẹ nhất)… dẫn đến nhiều hậu quả nghiêm trọng khác.
Topic này được kết thúc ở đây.
[QUOTE=toannv;289073]Dù 10520058 có nói gì đi nữa thì hành động:
*Công khai nguyên xi cái nội dung bạn ~vai~ -> Tôi -> VPĐ -> 10520058 –> fourm *
là hành động đầy chất “trẻ trâu” :choler: (Tôi dùng từ nhẹ nhất)… dẫn đến nhiều hậu quả nghiêm trọng khác.
Topic này được kết thúc ở đây.[/QUOTE]
còn em thì không chấp người ngồi bàn giấy chẳng hiểu gì về công việc của người khác khi quy trách nhiệm, bạn ~vai~ muốn báo thì đã chẳng post một post khoe thế này !
[QUOTE=10520058;289625]còn em thì không chấp người ngồi bàn giấy chẳng hiểu gì về công việc của người khác khi quy trách nhiệm, bạn ~vai~ muốn báo thì đã chẳng post một post khoe thế này ![/QUOTE]
Nếu nói như em thì em đã nhận thức được một bạn khóa 2012 đã sai, em là đàn anh khóa 2010 bắt chước sai theo là sao em. Sao em lại đi ăn thua với một bạn nhỏ hơn mình?!!?!
[QUOTE=toannv;289636]Nếu nói như em thì em đã nhận thức được một bạn khóa 2012 đã sai, em là đàn anh khóa 2010 bắt chước sai theo là sao em. Sao em lại đi ăn thua với một bạn nhỏ hơn mình?!!?![/QUOTE]
Sao lái hay vậy thầy, em đang nói chuyện nghê nghiệp, bạn đó làm đúng nhưng cách làm chưa đúng không phải sai, cái sai là cách thầy nhìn về sự việc, stop
[QUOTE=10520058;289638]Sao lái hay vậy thầy, em đang nói chuyện nghê nghiệp, bạn đó làm đúng nhưng cách làm chưa đúng không phải sai, cái sai là cách thầy nhìn về sự việc, stop[/QUOTE]
Lái gì mà lái em. Ở UIT đâu chỉ học kiến thức mà thông qua các hoạt động, em sẽ học được nhiều thứ :shot:
Bạn đó nhỏ có cách làm chưa đúng, nhưng em thì sai hoàn toàn và trầm trọng hơn. :aboom:
Tôi chỉ đưa ra ý kiến của mình thôi. Nhìn nhận sao thì các bạn ở đây nhìn nhận.
Ở trên đây là diễn đàn mà sao mấy bác admin hơn thua nhau làm gì. Thực sự ngay từ khi mới đọc cái tựa đề vào xem nội dung đã thấy nực cười rồi không hiểu ban ~vai~ nói cái này lên forum làm gì trong khi chỉ cần thông báo cho admin thôi. Còn nếu đưa lên đây rồi thì chờ sau khi sửa lỗi xong rồi public chỗ lỗi ra cho mọi người mở mang đầu óc coi
[QUOTE=12520037;289641]Ở trên đây là diễn đàn mà sao mấy bác admin hơn thua nhau làm gì. Thực sự ngay từ khi mới đọc cái tựa đề vào xem nội dung đã thấy nực cười rồi không hiểu ban ~vai~ nói cái này lên forum làm gì trong khi chỉ cần thông báo cho admin thôi. Còn nếu đưa lên đây rồi thì chờ sau khi sửa lỗi xong rồi public chỗ lỗi ra cho mọi người mở mang đầu óc coi[/QUOTE]
Cũng thông cảm em ơi.
Topic này nó nằm bên ngoài, Tôi move nó vào đây. Do Tôi ít/thậm chí không khi kiểm tra tin nhắn trên forum nên bạn này cảnh báo nhằm lôi kéo sự chú ý thôi.