Ни в какой момент времени никакие репозитории кода Apache Software Foundation, загрузки или сами пользователи в связи с этим вторжением риску не подвергались. Однако мы полагаем, что предоставление деталей случившегося сделает интернет лучшим местом, позволив другим поучиться на наших ошибках.

Что произошло?

В первой части я препарировал сайт ism.ws, который сложно отнести к когорте особо интересных. Чтобы у тебя не сложилось впечатления, что все описываемое - полная лажа и применимо только на мелких и заброшенных ресурсах, в качестве цели я выбрал более достойного кандидата. Поверь мне, инъекции и прочие уязвимости есть на ресурсах разного масштаба, включая и очень раскрученные бренды. Надо только уметь их найти и использовать.

Итак, знакомимся: герой дня - сайт "National association of federal credit union", или NAFCU, расположенный по адресу www.nafcunet.org (www.nafcu.org) и просто напрашивающийся на детальный анализ. Сайтец сделан довольно прилично, можно даже сказать, радует глаз. Глядя на такие ресурсы, невольно думаешь, что и с безопасностью здесь все в порядке, но реалии упорно твердят об обратном. Перед тем как воспользоваться Гуглом, я решил проявить самостоятельность и провести собственное расследование.

Третьего ноября этого года в Sysinternals был закрыт проект по развитию NewSID – утилиты, позволяющей менять идентификатор защиты компьютера (machine SID). Я написал NewSID (тогда она называлась NTSID) в 1997 году, поскольку на тот момент единственной программой, позволявшей менять SID, была утилита от Microsoft под названием Sysprep, которая не поддерживала смену идентификаторов защиты на тех машинах, на которых уже были установлены приложения.

Идентификатор защиты компьютера – это уникальный идентификатор, генерируемый программой установки Windows Setup, который Windows использует как основной идентификатор безопасности для определяемых администратором локальных аккаунтов и групп. После того, как пользователь авторизуется в системе, он представляется ей своими идентификаторами SID пользователя и группы в соответствии с авторизацией объекта (проверками прав доступа). И если две машины могут иметь одинаковый идентификатор защиты, то и аккаунты с группами на них могут также иметь одинаковые идентификаторы. Кажется очевидным, что наличие нескольких компьютеров с одинаковыми SID в пределах одной сети небезопасно, не правда ли? По крайней мере, так принято было думать.

 Рассмотрим небольшой пример. Внутренний портал (корпоративный сайт,
 размещенный в интрасети) содержит блок новостей с разделением по
 "каналам" ("новости компании", "новости отделов", "новости
 пользователей"), с возможностью комментировать любую новость каждым
 зарегистрированным пользователем (сотрудником организации), размещение
 сотрудниками новостей в определенном канале ("новости
 пользователей"), справочник сотрудников, содержащий как информацию,
 которую вносит отдел кадров, так и информацию, которую дополнительно
 может внести сам сотрудник - например, ссылку на личный веб-сайт,
 описание хобби и т.д., с возможностью позвонить на один из
 опубликованных для каждого сотрудника телефонов прямо из его карточки,
 "личный кабинет" сотрудника с возможностью просмотра сотрудником
 своей статистики - естественно, без возможности правки (по заработной
 плате и бонусам, по телефонным переговорам, по трафику Интернета и
 т.д.), список назначенных на него заданий и перечень различных
 документов, сгруппированных по различным признакам, с возможностью их
 редактирования непосредственно в браузере в зависимости от прав
 пользователя и занимаемой им должности.

Одним из преимуществ языка Python можно назвать интерактивный режим
 работы - набрав в командной строке "python" без параметров, вы
 увидите приглашение ">>" и сможете, что называется, в режиме
 реального времени выполнять те или иные команды на языке Python. Этот
 режим оказывается очень удобным при разработке скриптов - можно
 проверить ту или иную идею, ознакомиться с доступными методами
 какого-нибудь объекта (функцией dir(obj)), или получить справку по
 какой-либо функции или модулю. Это делает язык Python достаточно
 удобным для системных администраторов при решении задач, где
 возможностей sh оказывается недостаточно. Но всё же одно небольшое
 неудобство остаётся - по-прежнему приходится "переключаться" между sh
 и Python, учитывая ограничения как первого, так и второго инструментов.
 А как же иногда хочется прямо из python получить листинг каталога, не
 прибегая к сложностям типа "os.listdir(os.curdir)", или же, наоборот,
 выполнить в sh привычный цикл "for i in range(5)" вместо того, чтобы
 мучительно вспоминать синтаксис цикла в bash... Возможно ли такое?

На просторах рунета очень мало русскоязычной документации по настройке и
сборке программ, и иногда приходится просмотреть кучу всевозможной инфы,
в поисках мало-мальски достойного HOW-TO. Спасибо тем людям которые
собирают крохи информации и объединяют их в хорошие, понятные мануалы.
Как говорится респект им и уважуха. Вот я решил поделится своим опытом,
может то, что собрал, поможет пусть не всем, но многим.

PCSX2 это эмулятор игровой консоли PlayStation 2 для PC с открытым
исходным кодом, распространяемый под лицензией GPL 2.0.