Как я "поломал" топ хостинг, получил "big" bug bounty и поранился карамелькой
В один прекрасный день передо мной встает нетривиальная задача по реализации на сайте очередной фишки. Для которой, нужно было отредактировать какой-то файл настроек на моем хостинге, чем я собственно и занялся.
Значит захожу в панельку ISP manager и вижу двойной менеджер файлов. Наверное он будет в два раза продуктивнее, думаю я, и захожу в него.
Вспоминаю, что нужно мне настроить и без труда прокликиваю до пути /etc/https/conf
Мой взгляд падает на директорию vhosts и ее содержимое, затем на вторую половину файлового менеджера...звучит зловещая музыка
В голове мысли, а что если в справа случайно будут какие-нибудь другие цифры. Сказано - сделано. Жмякаем на меню "Навигация" -> "Перейти"
И, о чудо, мы в гостях. Поздороваемся, снимем обувь и зайдем. Добрый вечер файл wp-config.php
Погостили, пора и честь знать. Возвращаемся домой в наш родной ISPManager, выходим покурить на балкон в PHPMyadmin. Ой, простите, когда мы уходили из гостей, мы перепутали свои ключи с хозяйскими, какая досада.
Сорить мы конечно не будем, а просто сообщим заведующей по дому, что произошла забавная неурядица. Зав. домом нас конечно похвалит, что мы не мусорим и ведём себя подобающе.
Но вместо шоколадной конфеты, даст нам карамельку барбариску, от которой мы в конце концов пораним язык
Истории конец. Кидайте фантики в урну.
Информационная безопасность IT
1.4K постов25.5K подписчика
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.