Na navigaci | Klávesové zkratky

Translate to English… Ins Deutsche übersetzen…

Jak penetrují mladí chlapci?

Mladí chlapci se musejí vymezovat proti autoritám. Mají to v popisu práce. V diskusi neváhají nedostatek zkušeností nahradit sebejistotou a drzostí. Fakt hloupé to začíná být ve chvíli, kdy vlastně jen nahrazují.

Martin Klubal alias Emkei, administrátor serveru Soom.cz, se poměrně ostře pustil do Jakuba Vrány pod článkem o bezpečnostním auditu serveru Na volné noze. Na věci je pikantní, že Martin Klubal je Jakubův konkurent, neboť provozuje službu Pentester komerčně nabízející bezpečnostní audity webových aplikací.

Obdivuju Jakuba, s jakou trpělivostí se nechal penetrovat mladistvým script kiddie, já bych ho asi smazal hned v zárodku. Jakub je v tomto směru až hyperkorektní a jsem přesvědčen, že si tak poškozuje své jméno. Když totiž diskusi přečte neodborník, nemusí mu být úplně zřejmé, kdo je tady vlastně za diletanta. Čtenář potřebuje vodítko a proto vznikl tento článek.

Takže vězte: Martin Klubal alias Emkei je úplně mimo. Patří do sorty tzv. „bezpečnostních odborníků“, kteří tohoto sice hodně načetli, jenže při čtení vůbec nepřemýšleli. Vědí o spoustě útoků, ale nemají páru o technickém pozadí a neví, jak jim skutečně čelit. Na argumenty nejsou schopni reagovat jinak, než odkazováním na (dle jejich názoru) autoritativní zdroje, tedy v tom lepším případě, v tom horším se uchylují k osobním útokům. Dokážou však udělat výborný první dojem a ohromit množstvím znalostí. Že jsou jejich rady kontraproduktivní, se nemusí hned zjistit.

Emkei script

Ale zpět k diskusi. Emkei upozorňuje na útok upload null byte, který prý souvisí s nastavením direktivy magic_quotes_gpc a prý znemožňuje kontrolu nahraného obrázku na základě jeho přípony. Diskuse poté kráčí ve výše popsaných šlépějích, takže o upload null byte útoku nebo direktivě magic_quotes_gpc se od něj nedozvíme vůbec nic, zato se dočteme, že Jakub je blázen, stahovačný (sic!), líný hlupák a tak vůbec ;)

V jedné chvíli však Emkei neprozřetelně utrousí moudra a podělí se o kus PHP kódu. Ten by měl demostrovat zmíněný null byte útok, vtipné však je, že prakticky na každém řádku je nějaká chyba. Od méně závažných po naprosto fatální bezpečnostní díru:

if (strtolower(substr($HTTP_POST_FILES['obrazek']['name'], -4, 4)) == ".jpg") {
    $path= "upload/".urldecode($HTTP_POST_FILES['obrazek']['name']);
    if($ufile != none) {
        if(move_uploaded_file($HTTP_POST_FILES['obrazek']['tmp_name'], $path))
            echo "Obrazek byl uspesne nahran na server";
        else
            echo "Obrazek se nepodarilo nahrat na server";
    }
} else
    echo "Neplatny format obrazku";

Jen bodově:

  • pole $HTTP_POST_FILES bylo zavrženo už v roce 2001, jeho použití mě docela překvapilo
  • neověřuje existenci prvku $HTTP_POST_FILES['obrazek']['name'] a může tak generovat neošetřené E_NOTICE
  • neověřuje, že prvek $HTTP_POST_FILES['obrazek']['name'] je řetězec a může tak generovat neošetřené E_NOTICE (viz <input type="file" name="obrazek[]">)
  • urldecode() nemá v kódu co dělat. Pokud budete uploadovat soubor nazvaný třeba 70%absinth.jpg, na straně serveru byste dostali 70«sinth.jpg
  • urldecode() je místo, kde se zcela uměle vytváří díra „upload null byte“
  • podmínka if($ufile != none) pracuje s nedefinovanou proměnnou $ufile a nedefinovanou konstantou none
  • kód neřeší situaci, kdy $ufile == none, ať už je tím myšleno cokoliv
  • ke složce upload přistupuje relativně, takže se může chovat velmi nepředvídatelně
  • ale hlavně: dovoluje přepsat jakýkoliv jpg na webovém serveru, tedy i mimo adresář pro upload! (např. %2e%2e%2fobr.jpg)
  • kvůli uměle vytvořené „upload null byte“ díře dovoluje přepsat jakýkoliv soubor na webu (např. .htaccess%00.jpg)

Všechny tři řádky obsahující konstrukci echo se zdají být bez problému. Gratulujeme!

Na závěr bych Martinovi vzkázal jeho vlastní slova: chtel bych videt hlupaky, co ti za to tvoje bezpecnostni skoleni plati bezmala 5 000,– Kc. venuj se dal php a neprodavej lidem falesny pocit bezpeci v podobe amaterskych bezpecnostnich auditu… A firmám, které Pentester uvádí ve svých referencích (např. Webnode, Web4ce) doporučuji, aby si nechaly udělat audit také jinde.

Komentáře

  1. Someone #1

    avatar

    Milujem štýl písania autora blogu :) Bohužial je to tak, že mi mladí si neradi pripustíme našu smrtelnosť. Majte s nami strpenie.

    před 7 lety
  2. martin #2

    avatar

    mno, ale to co jste vytvoril je taky dilo…

    1. argumentace s mladim je kravovina
    2. u zmineneho kodu se vubec nevyjadrujete o te dire, kterou ma demonstrovat
    3. konstrukce echo jsou tam 4, ne 3

    takze kdybych byl rejpal, mel bych toho dost na to, abych napsal podobne nactiutrhacny clanek o vas ;)

    btw. no offense, jen pro vasi predstavu
    btw2. sorry za dia

  3. Michalek #3

    Tihlecti starý páprdové vůbec nechápou tu novou generaci… A přitom by všem mělo stačit používat google a hledat nuly! :-)

    před 7 lety
  4. David Grudl http://davidgrudl.com #4

    avatar

    #2 martine, mládím neargumentuju, ten první odstavec není argument.

    Máš recht, že jsem v tom moři chyb úplně zapomněl zmínit to nejdůležitější, a sice že „upload null byte“ vytváří právě volání funkce urldecode(). Přidal jsem to do článku.

    Ať počítám jak počítám, vidím echa tři.

    před 7 lety
  5. Shabbi. http://shabbi.cz #5

    avatar

    Už když jsem začínal diskusi číst, bylo mi jasné jak skončí :-)

    Nejen že je Martin Klubal úplně mimo, ale selhal i v základních znalostech slušnosti a schopnosti diskuse.

    Kdybych byl na místě Jakuba já, asi bych to po prvním neúspěšném pokusu o vysvětlení vzdal a vlákno raději smazal. Jen je škoda, že Martinovi potenciální zákazníci zřejmě nebudou natolik prozíraví, aby si projeli jeho jméno Googlem a případně narazili i na tento článek.

    před 7 lety
  6. enoice http://www.fialove.eu #6

    avatar

    #2 martine, Kde je čtvrté echo?

    Jinak by mě zajímalo, jak se Emkei teď ve skutečnosti cítí. Jestli je tak sebejistý až do morku kostí, nebo jestli ve skrytu duše lituje, že se vůbec ozýval.

    Další možnost je, že se chtěl zviditelnit, což se mu docela povedlo :) negativní reklama je přece taky reklama.

    před 7 lety
  7. Jann Baill #7

    Moc pěkný článek… snad se mi takhle nikde předvést nepodaří :)

    před 7 lety
  8. Tomáš Heřman #8

    avatar

    Je smutné že takoví lidé vrhají špatné světlo na nás, mladistvé :] ale jinak příjemné čtení :D

    před 7 lety
  9. Roman #9

    avatar

    Potlesk.

    před 7 lety
  10. Jann Baill #10

    Všimli jste si, že když na googlu teď hledáte ,,upload null byte", tento článek vyskočí na druhém místě a diskuze pod článkem Jakubovým na místě třetím? :)) Pokud hledáte jenom české výsledky, tak se články ještě posunou o místo dopředu :D

    před 7 lety
  11. kolemjdoucí #11

    Čekal bych, že ostřílený penetrační mazák ve středních letech si dá práci s přípravou akce a nevypustí kompletní dávku hned při zahlédnutí poodkrytého ledví objektu svého zájmu (a to i když je to mladé maso).

    Když si přečtu celou diskuzi, která vedla k probírané perle pana Klubala, tak musím konstatovat, že ani pan Vrána se nemazal s ověřování existence a typu prvků v poli či kontrolou kam vlastně soubor kopírujeme. A je to logické, řeší se jiný problém, příklady směřují k jádru věci, kdyby se měly ukazovat jen kompletní, vše řešící a spustitelné zdrojáky, tak by se v nich dost špatně hledala pointa. U $ufile a $HTTP_POST_FILES bych nebyl tak přísný a jejich přítomnost vysvětlil zkopírováním příkladu z jiného zdrojáku.

    Takže jediným WTF zůstává to urldecode.

    před 7 lety | reagoval [13] Hrach [15] pojízdná kočka
  12. Dundee http://blog.milde.cz #12

    avatar

    Moc pěkný článek. Díky Davide!

    #2 martine, Raději už to zabal hochu, jsi všem jen pro smích.

    před 7 lety
  13. Hrach http://jan.skrasek.com #13

    avatar

    Musím souhlasit s #11 kolemjdoucí. Davide, jsi úžasný demagog :) (to ber jak kompliment). Jinak je jasné, že pan Martin je absolutní nevychovanec, který si nevidí do pusy.

    před 7 lety
  14. ic http://icweb.eu #14

    avatar

    Nevím jestli každý ‚čtenář potřebuje vodítko‘, (imho od autoritativní zdroje) snad takový který ‚při čtení vůbec nepřemýšleli‘ to asi jo. Ovšem tímto hozeným vodítkem bylo prozrazeno zdejším čtenářům, že jsou vlastně na vodítku, a že by podobým článkům neměli věřit. Tím byla taky v základech otřesena metoda Indiana Jones která jen dále utahuje obojek. XD

    před 7 lety
  15. pojízdná kočka #15

    avatar

    #11 kolemjdoucí,

    • V onom inkriminovaném článku není ani kus PHP kódu. Pokud myslíš tohle http://php.vrana.cz/…lne-noze.php#… tak si přečti jeho komentář pozorněji – Jakub tam uvádí dvě ukázky kódu, které jsou zranitelné, a vysvětluje jak – ukázat kód, který není zranitelný měl naopak M. K. Za další (ale to bys musel Jakubův blog číst trochu častěji) – jeho ukázky kódu jsou defaultně osekané od všeho (v uvozovkách) nepodstatného, z toho důvodu, aby výsledný kód byl co nejpřehlednější a nejsrozumitelnější. To je jakýsi standard jeho stránek. Předpokládá se samozřejmě, že ten, kdo ten kód chce použít, si jej už doplní, jak potřebuje. (Pokud to ovšem není, tzv. ‚lepič kódu‘, ale to už je jiná kapitola.)
    • Ad $ufile) já bych přísný byl ;-) Zaprvé, když už někdo takhle inzultuje druhé (kromě M.K. je tím mimochodem nechvalně proslulý i Radek Hulán) tak v momentě, kdy přijde na něj, aby něco ukázal, aby si to, co napíše, měl přinejmenším přečíst.
    • A za druhé (a to se týká toho $HTTP_POST_FILES) – je to možná subjektivní názor, ale já (a teď mluvím obecně) oceňuju ty, kteří se v kódování vyvíjejí – ne ty, co se něco naučili v roce 2001 a pak tímhle způsobem „pytlikují“ svoje skripty až do důchodu. Napsat $HTTP_POST_FILES v roce 2009 (a krátce před verzí 6.0) a v případě M.K. po přívalu narážek, jak je Jakub Vrána neschopný apod., je stejně tak strašidelné jako trapné.

    #2 martine,

    • Jen pro zajímavost – ty jsi ten Martin Klubal? :-)
    • „…co jste vytvoril je taky dilo…“ – pěkná tautologie
    • Pokud chceš napsat cituji: nactiutrhačný článek o „nemladých chlapcích“, tak to, prosím, udělej – rád si ho přečtu a řekl bych, že nejen já.
    • co znamená „sory za dia“? Diapozitivy? Bůh Dius?
    před 7 lety | reagoval [16] kolemjdoucí
  16. kolemjdoucí #16

    #15 pojízdná kočko,

    • Vy si to přečtěte pozorněji, měl ukázat kód, který je zranitelný.
    • Ale já přeci nekritizuji pana Vránu za to, že ten kód takto osekal. Mně akorát připadá trochu vycucané z prstu pranýřovat pana Klubala za osekávání kódu, když ostatní kolem dělají totéž a navíc kompletní kód by byl kontraproduktivní.
    • Ano, obě konstrukce tam nemají co dělat. Jenže fatální chyby to nejsou, předmětu debaty se netýkají a dají se snadno svést na nepozornost. (Já jsem se nedávno s $HTTP_POST_FILES v novém kódu setkal, tak jsem možná otupělejší.)

    Pokud není pan Klubal úplně blbej, tak devět z deseti Davidových výtek neodborníkovi snadno vysvětlí. A ta desátá, nejdůležitější, která je hlavním důvodem proč je jeho příspěvek zcela mimo, je značně odbytá, takže se dá úspěšně zamlžit.

    před 7 lety
  17. mishak http://www.mishak.net #17

    avatar

    Sakra zase sem se těšil na návod Jak se penetrují mladí chlapci a dgx takto zklamal! :)

    BTW: strtolower je tam taky zbytečně strcasecmp by stačil. Ale substr($HTTP_POST_FILES['obrazek']['name'], -4, 4) vrať z konce 4 znaky ale opravdu jen 4 je pokus o vtip nebo mi něco uniká?

    před 7 lety
  18. Emkei http://www.pentester.cz/ #18

    avatar

    dobry den,

    povazovat za hlavni argument mladi, je prinejmensim ubohe. je skutecne usmevne, jak vsichni narazeji na moji nevychovanost, ale urazlivosti tohoto clanku a narazek v komentarich Jakuba si nikdo nevsima, to je pravdepodobne v poradku. pokud neumim varit, jednoduse nevarim, pokud nemam zkusenosti s bezpecnostnimi audity, neposkytuji je a tim by se mel ridit i Jakub, nebot ve svem podani prodava pouze laciny pocit bezpeci, i bez pristupu do administrace bylo mozne najit v jiz „proverenem“ systemu chyby.

    nevim, proc me nazyvas script-kiddie a ve vysvetlujicich informacich naopak hackerem, tato oznaceni si odporuji a me necharekterizuje zadne z nich. neustale se me snazite ztrapnit odhadem mych vedomosti, ty ale znat nemuzete a ja kontrovat podobnymi nesmysly nikdy nebudu, snizoval bych se na vasi uroven. kazdy ma sve chyby, ale fakt, ze si je musite vymyslet, jen abyste me urazili, dokazuje vasi bezmocnost.

    zduraznujes, ze jsem naprosto mimo, vzapeti, kde by clovek cekal padny argument, proc jsi toho nazoru, se vsak opet nachazi pouhy odhad mych vedomosti, ktere se me snazi ponizit. nejsi objektivnim soudcem Davide a znovu si vymyslis, nebot na kazdy Jakubuv argument jsem reagoval argumentem, nikdy pouhym osobnim utokem.

    oznaceni, ze je Jakub blazen, jsi vytrh z kontextu pro potreby sveho clanku, jsi jen pouhy demagog, ktery tezi z konfliktu dvou lidi. narazis na kvalitu kodu, ktery neni komplexni. to byl ovsem zamer a stejne tak to udelal i Jakub ve svych kodech, pouze na tomto miste dokazujes, az jak jsi zaujaty. promenna $ufile samozrejme neexistuje, prepsal jsem vsechny promenne tak, aby korespondovaly s jiz zverejnenymi kody Jakuba a pro ctenare tak byly snaze pochopitelne, tato mi ocividne unikla, chytrym ctenarum to zajiste doslo. chapal bych pranyrovani za ten kod, kdyby chyba znama jako null byte v uploadu nikdy neexistovala. vy mi ovsem nadavate za to, ze existuje, a ze jsem ji v danem kodu neosetril, ale to preci neslo, melo se jednat o ukazku zranitelneho snippetu, tak proc mi nadavate?

    firmam, kterym jsem delal bezpecnostni audit, samozrejme nebranim v tom, aby si nechali udelat penetracni testy i u nekoho jineho, naopak tento krok podporuji. nekritizuj ovsem moji praci, kdyz jsi nemel moznost zadnou z nich videt, je to od tebe ubohe.

    ad komentare:
    #4: Davide, mladim jednoznacne argumentujes, dokazuje to uz samotny nadpis clanku, tak si stuj za tim, co jsi napsal a nevymlouvej se.
    #5: Shabbi, ver mi, ze budu rad, kdyz na dany clanek narazi, rozumnym lidem dojde jeho zaujatost a pokrivenost hned po prvnich odstavcich.

    nestojim o dalsi flame war, ktery Davidovi pouze prinasi reklamu. lide zde opet dokazuji, ze objektivnost jim je cizi a velikani ceskeho internetu maji vzdycky pravdu, byt je realita nekde uplne jinde…

    před 7 lety | reagoval [20] Mue [22] David Grudl
  19. RubberDuck #19

    nezbiva mi nic jineho nez reagovat na ubohost celeho tohoto postu. cilem autora nebylo objektivne posoudit spor mezi Emkeiem a panem Vranou. cilem autora bylo zdiskreditovat Emkeie. z ceho tak usuzuji? autor napada jen a pouze Emkeie. duvod? v dnesnim svete je meritkem slava. pan Vrana podle meho nabyl dojmu, ze vlastne on je autorem PHP a APACHE, a tedy ze pouze on ma za vsech okolnosti pravdu. poznal jsem to na vlastni kuzi jiz drive a do dnesniho dne se smeji. pan Vrana totiz **NEUMI uznat svoji chybu (pripadne nevedomost) povazuje se za absolutniho profesionala, ktery ma VZDY a za vsech okolnosti PRAVDU. uroven, at uz profesni nebo vedomostni, nelze prepocitavat na pocty vydanych clanku nebo knih. uroven se meri i schopnosti umet priznat chybu, coz neumi ani pan Vrana ani autor tohohle paskvilu. paradoxem je, ze se pod timhle hnusem nejvice ozyvaji lide, kteri nic neumi a jen pritakavaji autorovi. srovnavat Emkeie s „Tim, jehoz jmeno se nesmi vyslovit, protoze to smrdi zalobou“ je stejne idiotske jako tvrdit, ze Zeme je stredem Vesmiru. Ale budiz. Vim moc dobre, ze s blbcem (v tomhle pripade se stadem blbcu) se clovek nikdy nedomluvi.

    Emkei: mas moji plnou podporu, protoze jsi vzdy dokazal sve tvrzeni obhajit, jak po teoreticke, tak po prakticke strance a pokud jsi si nebyl v necem 100% jist, byl jsi schopen svoji nevedomost priznat, coz pan Vrana nikdy neumel a nikdy umet nebude.

    David: jen tak dal. jeste par let tvrde prace a muzes si zalozit svuj vlastni bulvarni platek, kterym se na ceskem uzemi tak dari. a jsem si jisty, ze o nej budou mit lide obrovsky zajem, protoze mas vsechny predpoklady (hlavne ty pomlouvacne) zaujmout je.

    před 7 lety | reagoval [20] Mue
  20. Mue #20

    avatar

    Normalne se moc nevyjruji takhle v diskusich, ale tohle mi neda…

    #18 Emkei, „povazovat za hlavni argument mladi, je prinejmensim ubohe“ – Je mi lito, ale mladi kluci maji porad hubu plnou kecu, nedokazi uznat padny argument a radeji urazi…
    „vsichni narazeji na moji nevychovanost, ale urazlivosti tohoto clanku a narazek v komentarich Jakuba si nikdo nevsima“ A vis proc? Protoze jsi v tech komentarich zacal urazet prvni.
    Jabub Vrana (at se ti to libi nebo ne) je opravdu jeden z mala lidi, kteri toho u nas o PHP vi opravdu hodne. Kolikrat jses dival do zdrojaku PHP? Pises dokumentaci? Neco mi rika ze ne.
    Pouziti zavrzene kontrukce v prikladu o necem svedci, ale vyjadrovat se k nemu vic nebudu, kazdy normalni clovek chape.

    Takze mi nezbyva nez s Davidem opet souhlasit, ze nejvice jeci mladi cucaci, kteri sezrali vsechnu modrost sveta. Mozna ze v tom co delas si dobry, tvoje bezp. testy k necemu jsou, ale chovas se jak spratek a v dnesni dobe nestaci jenom umet, musis to co umis prodat.
    A ziskat respekt tim, ze budu urazet lidi, kteri neco vi a jsou povazovani za spicku(Jakub Vrana) neni dobry napad.

    #19 RubberDucku, *„pan Vrana podle meho nabyl dojmu, ze vlastne on je autorem PHP a APACHE“… „povazuje se za absolutniho profesionala, ktery ma VZDY a za vsech okolnosti PRAVDU“
    Dal jsem to uz necetl, nemel jsem duvod. Pro Vase info: Proslo mi pod rukama hodne zdrojaku k CMS co lepili ruzni lide od radoby-programatoru pres programatory az po spickove programatory. A vite co maji vsechny spolecne? Temer ve vsech se objevila nejaka konstrukce od Jakuba. Z jeho blogu.
    A rozdil? radoby-programatori aplikovali metodu copy&paste, ovsem nepouzili ji na licenci/link na autora (Jakub to vyzaduje, takze porusuji autorske pravo).
    *programatori
    sice taky pouzili metodu copy&paste, nekteri si dany kod i ohnuly pro sve potreby, ale byl u nich link na Jakubuv blog.
    A ti opravdu dobri programatori? I kdyz tam byl jenom kousek Jakubova kodu, treba jen 3radky a zbytek si napsali podle svych potreb, tak nechali v kodu "Inspirovano funkci XY od J. Vrany a link na jeho web.
    Takze ano, Jakub Vrana je profesional

    před 7 lety | reagoval [21] Emkei
  21. Emkei http://www.pentester.cz/ #21

    avatar

    #20 Mue, az narazim na nejaky padny argument, mile rad jej uznam, dosud vidim jen same vymysly a urazky.

    „on si zacal“, to je opravdu ospravedlnujici argument hodny dospeleho cloveka.

    Jakub Vrana je zajiste odbornik v tom, co dela (mam na mysli PHP, nikoliv bezpecnostni testy) a ja mu to neberu. vadi mi ovsem nazor hlupaku, kteri me, jakmile ho upozornim na nedokonalost jeho prace nebo chybny nazor, automaticky oznaci za mladeho kluka s plnou hubou kecu, nebot on je nekym nedotknutelnym, celebrita.

    před 7 lety | reagoval [24] Mue [25] Juan
  22. David Grudl http://davidgrudl.com #22

    avatar

    #18 Emkei, Ja se prece vubec nesnazim argumentovat. Nemate vychovani ani znalosti, nestoji mi za to cokoliv dokazovat. Ja si jen vybral jeden komentar z mnoha hloupych a vysmal se mu :-)

    před 7 lety | reagoval [23] Emkei [24] Mue [24] Mue
  23. Emkei http://www.pentester.cz/ #23

    avatar

    #22 Davide Grudle, jak vis, ze nemam zkusenosti? opet si jen ve snaze me ponizit vymyslis. svym vykonstruovanym a urazlivym clankem jsi, co se vychovani tyce, klesnul na stejnou uroven, kam jsi me sam zaradil. vysmat se argumentum je prirozena vlastnost hlupaku, Davide.

    před 7 lety
  24. Mue #24

    avatar

    #22 Davide Grudle, P#22 David Grudl Ja si jen vybral jeden komentar z mnoha hloupych a vysmal se mu
    Ano, jeden z mnoha duvodu proc mam tvuj blog (i LaTrine) rad :) Hazet argumenty ignorantovi je zbytecna vec.. Takhle se clovek alespon zasmeje :)
    #21 Emkei „on si zacal“, to je opravdu ospravedlnujici… Ano, je. Divim se Jakubovi, ze se s tebou na svem blogu vubec bavil. Zatimco on predkladal rozumne argumenty – bez jakyhkoliv urazek – ty jsi hlavne urazel.
    automaticky oznaci za mladeho kluka s plnou hubou kecu a ty se divis? Jakub i ostatni v diskusi pouzivali vecne argumenty, ty hlavne urazky a tvoje obcasna argumentace prilis neobstala. Moderne se tomu rika R.H. Komplex :)

    před 7 lety | reagoval [26] LLook
  25. Juan #25

    #21 Emkei,

    jakmile ho upozornim na nedokonalost

    Každý, kdo četl tu diskusi a rozumí aspoň trochu PHP (případně umí číst dokumentaci a používat Google), musí jasně vidět, že jsi ho na žádnou nedokonalost neupozornil. Napsal jsi tam nesmyslný kousek kódu a všem jsi dokázal, že tomu sám pořádně nerozumíš. Vážně záčínáš být všem čím dál víc pro smích, jak v těch nesmyslech pokračuješ.

    před 7 lety | reagoval [27] Emkei
  26. LLook http://xn--1caaa.info/ #26

    avatar

    #24 Mue, Snad nechceš tvrdit, že „urážky ospravedlňují urážky“? Z tvých formulací to přímo vyplývá.

    před 7 lety | reagoval [29] Mue
  27. Emkei http://www.pentester.cz/ #27

    avatar

    #25 Juane, upozornil jsem ho na moznost odhaleni stromove struktury weboveho serveru, na fakt, ze neprovedl test nachylnosti uploadu na pritomnost null byte (do te doby ani nevedel, ze takova chyba na Internetu existuje), ze se neobtezoval majitelu zeptat, zda data prijata od uzivatelu osetruji vlastnim zpusobem, kdyz maji direktivu magic_quotes_gpc vypnutou, ze vyskyt PHP kodu v obrazku JE pro majitele serveru nebezpecim, at uz je pripona jakakoliv (LFI). uvedenemu kousku kodu jsi ocividne neporozumel ty, kdyz jej povazujes za nesmysl, jiz jsem to zminil ve svem prvnim komentari.

    Mue, Juan: pokud neumite byt objektivni, nereagujte!

    před 7 lety | reagoval [28] fos4 [29] Mue [32] majak [35] Juan
  28. fos4 #28

    #27 Emkei, V referencích píšeš o webu web4ce.cz, která také ukazuje stromovou strukturu webu. Viz https://administrace.web4ce.cz/login.html a do loginu dát '.

    před 7 lety | reagoval [30] Emkei
  29. Mue #29

    avatar

    #26 LLooku, Nene, asi jsem se špatně vyjádřil, nechtěl jsem aby to takhle vyznělo.
    Chtěl jsem říct, že smekám před trpělivostí Jakuba, který pořád předkládal věcné argumenty bez urážek, zatímco druhá strana se chovala přesně obráceně. To že se někteří lidé neudrželi je věc druhá, ale nedivím se jim, když je k tomu Emkei přímo vyzíval svými útočnými komentáři.

    #27 Emkei, Asi nejsem objektivní, možná je to tím že už mám řadu nepěkných zkušeností s určitým typem lidí, kteří neumí uznat prohru a pod tíhou argumentů ostatní raději začnou urážet místo toho aby uznali chybu.

    před 7 lety | reagoval [30] Emkei
  30. Emkei http://www.pentester.cz/ #30

    avatar

    #28 fos4, predmetem penetracniho testu u spolecnosti Web4ce byl audit sdilenych serveru, nikoliv webovych aplikaci, je to tam jasne napsano.

    #29 Mue, samozrejme, ze jsi to tak nemyslel, pouze jsi se dvakrat spatne vyjadril. jakou chybu bych mel uznat? ze jsem si dovolil kritizovat velikany, kterymi jsou Jakub a David? ta kritika byla v obou pripadech opravnena a podlozena argumenty, ktere ovsem zaujati ctenari a oba jmenovani nikdy v potaz nevezmou…

    před 7 lety | reagoval [31] Mue
  31. Mue #31

    avatar

    #30 Emkei, heh, doporucuju si nascrolovat nahoru na Davidovu cast „Emkei script“ , tam je podle mne tech chyb vypsanych dost :))
    Pokud by kritika na velikany byla opravnena, tak mlcim! Pokud se sam povazujes za velikana jejich rozmeru (nebo jeste vetsiho), tak to pls. dokaz ze jim jsi. Zatim mi to nejak unika, ale mozna jsem zaostaly.....
    Mozna ti nedoslo proc tenhle clanek vlastne vzniknul… Pokud bys u Jakuba na webu argumentoval k veci a hlavne ostatni neurazel, tak bych tady nemel co psat.

    před 7 lety | reagoval [36] Emkei
  32. majak #32

    avatar

    #27 Emkei, V kombinácii s LFI to problém je, tam máš pravdu. Ale…
    Príde mi to rovnaké, akoby si povedal:
    Problém je v tom, že sa dá na server nahrať niekoľkogigový obrázok, čím sa úplne zaplní disk.
    Áno, týka sa to upload formuláru. Áno, je to problém.
    Až na to, že s nulovým bajtom to nemá nič spoločné.
    A od neho sa celá táto diskusia odvíjala.

    před 7 lety | reagoval [36] Emkei
  33. johny http://jankrejcik.cz #33

    Jestli se nepletu, Jakub použil tuto výzvu: „Víš co, přestaň teoretizovat a napiš, jak by měl vypadat kód, který by splňoval požadavek ‚Typ souboru se určuje podle koncovky‘ a byl zranitelný.“ A Emkei ji jen vyslyšel.

    Samozřejmě o nevycválanosti všech diskutujících jdou vždy vést dlouhé debaty.

    před 7 lety
  34. Mue #34

    avatar

    Nedalo mi to a našel jsem s pomocí Google jednu krásnou věc…
    Takle diskuse na Lupě je opravdu zajímavá :)

    A modro na konec: „Někteří lidé rozum (slušnost) nenajdou, i kdyby je kousala do pr*le

    před 7 lety | reagoval [36] Emkei
  35. Juan #35

    #27 Emkei, Aha, jasně. Ty víš, že Jakub ten útok předtím neznal. Tak to jo, teď už chápu, že nemá smysl s tebou diskutovat.

    před 7 lety | reagoval [36] Emkei
  36. Emkei http://www.pentester.cz/ #36

    avatar

    #31 Mue, a ja bych doporucoval si cist i me komentare, kde je jasne uvedeno, proc neni kod komplexni, na coz prisli i jini lide v teto diskuzi, ty bohuzel dosud ne, tak si to alespon precti.

    pro tebe by kritika velikanu nikdy nebyla opravnena. lide jako ty vzdy vyuziji prilezitosti zavdecit se „celebritam“ a objektivnost jde stranou, coz jsi ostatne sam priznal.

    #32 majaku, LFI bylo argumentem pro nazor, ze jsem Jakuba na zadnou nedokonalost ci chybny nazor neupozornil, coz je lez, proto ten vycet, tak to neprekrucuj, jen abys mi pak mel co vycitat.

    #34 Mue, dosly argumenty, tak najdem neco uplne jineho, jen at flame war nekonci, ze? jsi k smichu…

    #35 Juane, ne, neznal jej, a ani ty by ses zde nemusel ztrapnovat takovym komentarem, kdyby sis pred jeho sepsanim nejprve diskuzi u Jakuba precetl.

    před 7 lety | reagoval [37] slave [38] Mue [41] Juan
  37. slave #37

    avatar

    #36 Emkei, moc bych se neohanel tim, ze v tehle disikusi byli i taci, kteri se te zastavali.. Byl to akorat RubberDuck a to jsi take ty :-)

    před 7 lety | reagoval [39] Emkei [40] fos4
  38. Mue #38

    avatar

    #36 Emkei, Jediny kdo je tu k smichu jsi ty… To ze kod neni kompletni neznamena ze musi obsahovat chyby :-D Asi tak.
    Koncim, nemam naladu se tady hadat s penetrujicim chlapcem. Tu diskusi na Lupe jsem neprihodil kvuli flamewaru (protoze mne nebavis), ale kvuli tomu, aby i ostatni videli, ze urazet ostatni ti jde velice dobre. A taky pro tebe.. Stezujes si, ze tady chranime sve bohy Jakuba a Davida. Koho chranili diskutujici na Lupe? :-D
    A Davidovi diky za napsani clanku :)

    před 7 lety | reagoval [42] Emkei
  39. Emkei http://www.pentester.cz/ #39

    avatar

    #37 slave, precti si tu diskuzi celou, nez sem priste napises podobnou blbost. RubberDuck samozrejme nejsem, hlupaku.

    před 7 lety
  40. fos4 #40

    #37 slave, čestina RubberaDucka na to sedí :-)

    před 7 lety
  41. Juan #41

    #36 Emkei, Četl jsem celou diskusi a neexistuje jediný důkaz, že by Jakub uvedený útok předtím neznal. Dokonce ti trpělivě vysvětloval, jak funguje (zajímavé, že, když ho nezná), a z tvých reakcí plyne, že sám nevíš, kdy útok může nastat. (Ano, možná máš nastudovaný jeho princip, ale to, že vznikne, když ho uměle vytvříš pomocí urlencode(), to není argument).

    Jinak když už chceš diskutovat, tak bys opravdu mohl začít psát k věci a nezakončovat každý příspěvek slovy „hlupáku“ nebo „nereaguj, když tomu nerozumíš“.

    před 7 lety | reagoval [44] Emkei
  42. Emkei http://www.pentester.cz/ #42

    avatar

    #38 Mue, mel jsem napsat napadnutelny kus kod kodu, kdy uz ti to konecne dojde? slusne lidi neurazim, pouze hlupaky a nedouky, pricemz vzdy pouzivam argumenty. diskutujicim na Lupe vadilo, ze jsem v serialu nezverejnil zadne konkretni postupy a oni tak nemohli hackovat sve webhostingy. vsichni byli „neskutecne chytri“ v oboru, penetracnimi testy se ovsem nezabyval zadny z nich. to uz je hold povaha ceskeho naroda, kritizovat veci, kterym nerozumi.
    Davidovi za clanek klidne podekuj, kazdopadne urcite i on sam vi, ze se zavdecil pouze primitivnim haters, v ocich rozumnych lidi naopak dokazal, ze pro ctenost clanku mu lez, vymysly a prekrucovani fakt neni cizi…

    před 7 lety | reagoval [45] Mue
  43. Jiří Tvrdek http://www.tvrdek.cz #43

    avatar

    Teda Davide, ty sebestředný páprdo, to je zas jednou ukázka hulánovsko-dentovské arogance a neúcty k mládí! :)

    před 7 lety
  44. Emkei http://www.pentester.cz/ #44

    avatar

    #41 Juane, precti si tu diskuzi poradne, ten dukaz je tam dokonce jmenovany. ja princip fungovani te chyby znal i bez Jakubovy pomoci, to pouze on zmenil taktiku z nazoru, ze dany utok neexistuje na to, ze tedy existuje, ale ja mu nerozumim.
    diskutuji vzdy k veci, pouze me nebavi vam neustale vysvetlovat, co za hovadiny tady plodite, uvedene privlastky jsou tudiz naprosto na miste.

    před 7 lety
  45. Mue #45

    avatar

    #42 Emkei, Tak naposledy.. ano, mel to byt napadnutelny kod, ale ne zpraseny. Napadlo by nekoho normalniho tam dat urldecode()? V zivote jsem nevidel ze by tohle nekdo pouzil, neberu to jako realny nebezpeci, spis ciste teoreticky za predpokladu ze je programator naprosty idiot. Ale dobre, svuj ukol jsi splnil. To te ovsem neopravnovalo k tomu misto argumentu byt v diskusi agresivni.
    Ad Lupa: Vycitali ti to, ze jsi tam operoval s nejakymi informacemi a screenem putty, ovsem chybeli jakekoliv popisky jak jses k tomu screenu v putty ktery obsahuje db (asi) nejakeho shopu dostal. Vetu „nebudu prozrazovat co to je, aby tenhle webhosting nenaboural kazdy“ neberu, dalo se to vysvetlit tak aby experti co po tobe chteli vysvetleni vedeli ze umis a ostatni by nemeli co hackovat. Kdyz si vytvorim DB na localu, nasypu tam data jakoby eshopu a pak si je vypisu a udelam screen bez nejakych detailu, taky muzu rikat ze jsem hacknul shop XY. Oni chteli hlavne dukaz! Nejenom ze jsi ho nedal, ale ostatni si urazel a jednoho diskutujiciho nazval debilem kdyz po tobe ten dukaz chtel – Ano, presne tak se chovaji „ja vim vsechno vy nic“ mladi urvani chlapci :-D

    před 7 lety | reagoval [46] Emkei
  46. Emkei http://www.pentester.cz/ #46

    avatar

    #45 Mue, jedna zapomenuta promenna z nej nedela zpraseny kod. pristupujes k tomu stejne hloupe, jako Jakub. nedokazes priznat, ze takova chyba existuje, nebot ty jsi se s ni nikdy nesetkal. zadneho z vas ale nenapadlo podivat se napr. do googlu a presvedcit se, kolik lidi s touto chybou bojuje.

    ad Lupa: uvedeny obrazek byl pouze ilustracni, proto se k nemu nevztahoval zadny konkretni text v clanku, primitivnejsi cast ctenaru to ovsem nedokazala ani po upozorneni pochopit. zadne konkretni utoky jsem nezverejnoval, nebot nejen ze komentujici svymi prispevky dokazali, ze danemu tematu prakticky nerozumi, ale predevsim zmineny serial nebyl oslavou mych znalosti a dovednosti, nybrz poodhaleni zalostneho stavu sdilenych serveru na ceske internetove scene. pokud si diskutujici mysli, ze se mohou k autorum chovat jako prasata a oni si to museji nechat libit, nebot to jsou preci redaktori, tak se prinejmensim v mem pripade zmylili. vic se k tomu vyjadrovat nebudu, je to naprosty off topic.

    před 7 lety | reagoval [48] Mue
  47. Emkei http://www.pentester.cz/ #47

    avatar

    jelikoz se Jakub zachoval jako srab a maze veskere me prispevky, prestoze obsahuji konstruktivni kritiku ci reakci na vyzvy jinych ctenaru, jsem nucen reagovat zde, o Jakubovi necht si udela obrazek kazdy sam.

    # reakce na http://php.vrana.cz/…lne-noze.php#…

    Jakub…

    • me oznacil za lhare, i kdyz dobre vedel, ze mam pravdu (#8867)
    • tvrdil, ze sirim bludy, prestoze i dokumentace mi dava za pravdu (#8874)
    • vedome lhal, viz „Zde v diskusi jsi nepopsal žádný problém serveru Na volné noze.“ nebo kdyz tvrdil, ze jsem uvedl „PHP soubory se zpracovavaji na zaklade jejich obsahu“, aby me pak mohl poucit.
    • zverejnil link na nas predchozi konflikt, prestoze velice dobre vedel, ze tam se resil naprosto jiny problem a jako argument to bylo irelevantni. skutecny duvod, proc Jakub zmineny link uvedl, je chytrym ctenarum jasny, bylo to podlé, presto nikdo nenasel odvahu na irelevantnost upozornit.

    ocividne mame kazdy trochu jinou predstavu o slusnych lidech.

    # reakce na http://php.vrana.cz/…lne-noze.php#…

    ale ja preci nikde netvrdim, ze Jakub ten test na auditovanem serveru neprovedl, pouze jsem napsal, ze jeho komentar #8930 je lzivy a mystifikuje tak ctenare.

    před 7 lety | reagoval [50] Jakub Vrána [61] David Grudl
  48. Mue #48

    avatar

    #46 Emkei, pokud si diskutujici mysli, ze se mohou k autorum chovat jako prasata a oni si to museji nechat libit, nebot to jsou preci redaktori, tak se prinejmensim v mem pripade zmylili
    Vsadim se s tebou ze jsem napsal o dost vic clanku nez ty. Vsadim se s tebou, ze meli i vetsi ctenost. Ano, souhlasim s tim, ze nekteri diskutujici jsou hovada. Ale vzdycky jsem se s nima v diskusi bavil na urovni, pokud se nekteremu neco nelibilo, vzdycky jsem se snazil argumentovat, pokud byl „protivnik“ normalni, taky vecne argumentoval a nakonec jsme dosli ke shode.
    Jenze ty nechces dojit ke shode, opomijis to, na co te ostatni upozornuji, obcas vytahnes nesmysly..... o arogantnim stylu nemluve. Nedokazes uznat, ze nekdo jiny nez ty ma pravdu.

    před 7 lety | reagoval [51] Emkei
  49. Jod http://romcok.eu #49

    avatar

    Buhahahahahahahahahahahahaha, takto som sa dlho nepobavil :))))) . David sem tam rád zveličuje, čím vie dobre zabaviť :D , ale keď nechcete flame, tak prečo miesto kopy rečičiek proste netestnete tú app. Zabralo by to asi tri kliky ten upload ;)
    Takže podľa mňa všetci trepete :D , ale teší ma to, lebo by nebola takáto sranda :D

    Emkei kopeš si hrob, lebo rečami už vela nedocielis, radšej mu to nabúraj a budú tlieskať tebe, alebo iným :D

    před 7 lety
  50. Jakub Vrána http://php.vrana.cz/ #50

    avatar

    #47 Emkei, S Emkeiem jsem ztratil už příliš mnoho času, což je jediný důvod, proč jsem diskusi s ním na svém blogu ukončil.

    před 7 lety | reagoval [51] Emkei
  51. Emkei http://www.pentester.cz/ #51

    avatar

    #48 Mue, neustale tvrdis, jake mam zaporne vlastnosti (nechci dojit ke shode, ignoruji upozorneni ostatnich, vytahuji nesmysly), nic konkretniho vsak nikdy neuvedes, tak bud od te dobroty a priste me cituj. problem je v tom, ze tady je normalnich „protivniku“ poskromnu, naprosta vetsina si vymysli hlouposti a jakmile jim je vyvratim, vyrukuji s jinymi…
    ps: prozradis zde odkaz na sve clanky? urcite se nemas za co stydet a ja alespon ziskam povedomi o tom, s kym mam tu cest.

    #50 Jakube Vráno, to te neospravedlnuje k tomu zbavit me moznosti hajit se. nebud srab a alespon to do te diskuze napis, ze jiz nemam moznost na prispevky ctenaru reagovat. ty smazane komentare (viz vyse) byly pravdive, jednalo se o konstruktivni kritiku a nebyl nejmensi duvod je mazat. proste se ti jen nehodily…

    před 7 lety | reagoval [56] Mue
  52. Juan #52

    A nepřestane prostě… :)

    před 7 lety
  53. PAtrik #53

    avatar

    Naozaj nechcem vstupit do sporu medzi skupinou ludi, len taka mozno aj OT poznamocka ak dovolite.

    Kto sa venuje aktivne programovaniu a ma s tym dennodenne skusenosti, nenapise hociaky kod ani ked ide len o ukazku niecoho. Uvediem priklad a podobnost s tu uvedenym je len cisto nahodna:
    ak pouzivam casto $_POST tak ani v prikladu neuvediem $HTTP_POST, a ani $_REQUEST. Proste ten co vela programuje ma iste zvyklosti ktorych sa nezbavi ani ked pise priklad. Samozrejme nehovorim o neuplnosti kodu (kontrola premennych atd.). Toto som nemieril proti nikomu v tomto pripade to plati ako na jednu tak aj na druhu stranu.

    Samozrejme je to len moj subjektivny nazor. Za absenciu diakritiky sa ospravedlnujem, sila zvyku.

    před 7 lety
  54. @th #54

    avatar

    Pan Emkei (alias Martin Klubal) nepřestane. V diskuzi bude 100% konstruovat dokud nebude mít poslední slovo. Stejně jako v případě kdy se profláklo kdo stojí za výzdobou cizích webů fekálním pornem. Není to tak dávno co se Martin Klubal & Co. věnoval vykrádání emailových schránek, uploadu fekálnho porna a dalším zajímavým aktivitám. Ostatně jako většina lidí kolem soom.cz, schopna číst a psát.

    Když byl původce fekálního porna na webu odhalen, začala trapna epizoda zatloukání, lhaní a konstrukcí. Stylem né nepodobnému tomu, co Martin Klubal předvedl na lupa.cz, i zde v diskuzi. Až se diskuze o fekálu z IRC kanálu soom.cz objevila v google :-) a bylo vymalováno.

    Toho kdo miluje zář reflektorů a nemá dostatek talentu, může zachránit sebereflexe, změna bydliště, změna terapeuta, založení sekty nebo vstup do světa internetu. Vím, že je to cesta zpátky ale když nic nepomůže hledej tam kde neumí počítat do 5.

    Zda-li je fekální porno msta za výsměch venkovského kluka nevím. Vím ale kdo Martin Klubal je a odkud přichází.

    před 7 lety | reagoval [55] Emkei [57] Mue
  55. Emkei http://www.pentester.cz/ #55

    avatar

    #54 @thu, vymysly, vymysly a opet pouze vymysly. lide jsou hold hlupaci a me uz opravdu nebavi je na to upozornovat…

    před 7 lety | reagoval [58] @th
  56. Mue #56

    avatar

    #51 Emkei, Prvni ktery jsem nasel je netechnicky stačí nebo mám hledat další? :) Btw: Je to tři roky staré, teď se věnuji jiným věcem :) (To ze nektere boxy presahuji svuj prostor je dano tim, ze od vydani probehla zmena RS a designu)

    před 7 lety | reagoval [60] Emkei [60] Emkei [62] Emkei [62] Emkei
  57. Mue #57

    avatar

    #54 @thu, Není to tak dávno co se Martin Klubal & Co. věnoval vykrádání emailových schránek, uploadu fekálnho porna a dalším zajímavým aktivitám. Hodil by se nejaky link, tohle mne celkem zajima :)

    před 7 lety
  58. @th #58

    avatar

    #55 Emkei, pokud se jedná o výmysl proč je web kde to bylo zdokumentováno ( soom.phorum.cz ) přesměrován na soom.cz ? :-) Dobrá duše z hostingu ic.cz prozradila, že „někdo“ nareportoval (udal) nevhodný obsah na zmíněné doméně (amo ten tvůj obsah). Stránka byla následně odstraněna, znovu zaregistrována a přesměrována na soom.cz. Ve volném čase děláš i morální sanitu na freehostingových webech? :-)

    před 7 lety | reagoval [60] Emkei [62] Emkei
  59. Martin Kopta http://www.udelano.cz/ #59

    avatar

    Moc se omlouvám, nejsem programátor a pojem penetrace mám spojený spíš s malováním: Jak se dá z přípony souboru usoudit, zda soubor je nebo není v konkrétním formátu? :-o

    Stačí mi vysvětlení, urazím se sám.

    před 7 lety | reagoval [60] Emkei [62] Emkei
  60. Emkei http://www.pentester.cz/ #60

    avatar

    #56 Mue, v pohode, sice bych cekal, ze kdyz jsi jich napsal vic nez ja, tak je nebudes muset hledat, kazdopadne jsem rad alespon za ten jeden.
    #56 Mue tak to jsme dva :)
    #58 @th ta stranka obsahovala fekalni obsah a lzive informace o portale soom.cz. presto jsem ji dele jak rok ignoroval, at se lide autorovi vysmeji sami. teprve pote byla presmerovana na soom.cz.
    #59 Martin Kopta podle pripony se to nepozna, kazdopadne se na zaklade ni server rozhoduje.

    před 7 lety | reagoval [63] Mue
  61. David Grudl http://davidgrudl.com #61

    avatar

    #47 Emkei, Pokud se s tebou nekdo nechce bavit, zde nereaguj. Takze to tu mozna trosku promaznu, jestli mas chut, udelej si zalohu 8)

    před 7 lety | reagoval [64] Emkei
  62. Emkei http://www.pentester.cz/ #62

    avatar

    #56 Mue, v pohode, sice bych cekal, ze kdyz jsi jich napsal vic nez ja, tak je nebudes muset hledat, kazdopadne jsem rad alespon za ten jeden.
    #56 Mue tak to jsme dva :)
    #58 @th ta stranka obsahovala fekalni obsah a lzive informace o portale soom.cz. presto jsem ji dele jak rok ignoroval, at se lide autorovi vysmeji sami. teprve pote byla presmerovana na soom.cz.
    #59 Martin Kopta podle pripony se to nepozna, kazdopadne se na zaklade ni server rozhoduje, jak se souborem nalozi.

    před 7 lety | reagoval [65] @th
  63. Mue #63

    avatar

    #60 Emkei, Bohuzel servery na ktere jsem psal uz nemaji funkci „Zobrazit vsechny clanky autora“. Za 3,5 roku jich bylo hafo (vetsinou dva tydne), takze clovek si proste nepamatuje vsechny a tenhle mne napadl jako prvni. Jinak pokud mas tak dva roky stare vydani Chipu, doporucuju prolistovat… :)

    před 7 lety | reagoval [64] Emkei
  64. Emkei http://www.pentester.cz/ #64

    avatar

    #61 Davide Grudle, v pohode, hodim kopii k sobe na server. kdyby se jednalo o lzive komentare, pochopil bych to, jedna se ovsem o konstruktivni kritiku, ktera se vam jednoduse nehodi, tudiz tato cenzura skodi pouze vasim jmenum…

    #63 Mue, ok, diky.

    před 7 lety
  65. @th #65

    avatar

    #62 Emkei, Web obsahoval pouze informace a porno fotografie z vaši „deface“ akce (patřičně cenzurovány), komentář a odkaz na práci PHP profíka nebo-li PHP pentestera :-)

    http://www.soom.cz/index.php?…

    (viz červený text). Našel jsem to v cache.

    před 7 lety | reagoval [66] @th [67] Emkei
  66. @th #66

    avatar

    #65 @thu, jo a screenshot z diskuze na vašem irc kanálu který vše potvrzuje. Byl tam i tvůj nick Emkei :-)

    před 7 lety
  67. Emkei http://www.pentester.cz/ #67

    avatar

    #65 @thu, nejednalo se o zadnou „nasi deface akci“, tak si prestan vymyslet, kdyz nemas jediny dukaz, ktery by ty tve blaboly podlozil.
    oznaceni PHP profik mi sice lichoti, ale to prehanis :)
    analogicky k cervenemu textu na soomu muze kdokoliv vytvorit cerny text na googlu:
    http://www.google.cz/search?…
    ten screen z irc konverzace naopak potvrzoval, ze jsem s tim nic spolecneho nemel, mu nick tam vubec nefiguroval, tak si laskave prestan vymyslet.

    před 7 lety | reagoval [69] @th
  68. dRaGen #68

    Měl sem web soom.cz v záložkách mezi často navštěvující weby. Po přečtení těchto dvou článků už nikoliv. Gratuluji mistře Emkei víte jak si získat fanoušky.

    před 7 lety | reagoval [70] Emkei
  69. @th #69

    avatar

    #67 Emkei, když nemám jediný důkaz (viz začátek příspěvku č. 67), jak na jeho konci může to co neexistuje dokazovat něco ve tvůj prospěch? :-)

    před 7 lety | reagoval [70] Emkei
  70. Emkei http://www.pentester.cz/ #70

    avatar

    #68 dRaGene, nestojim o fanousky a uz vubec ne ty, kteri ve sve hlouposti temto vykonstruovanym clankum veri.

    #69 @thu, ten irc log uvedeny na soom.phorum.cz jsem totiz tehdy cetl, a nikde muj nick nebyl, nemohl ani byt. jedinemu, komu se ted nefunkcnost zminenych stranek hodi, jsi ty, muzes si tu ted totiz dal nepodlozene vymyslet ty svoje teorie a hromada dalsich hlupaku ti to i presto bude verit…

    před 7 lety | reagoval [71] @th
  71. @th #71

    avatar

    #70 Emkei, aha a z jaké akce zmiňovaný IRC log je? :-) Ps: Ja vím, že o tom nic nevíš :-) Když čtu tvůj projev, to prostě není tvůj styl :-) To za tebe udělal zajisté nějaký zapálený čtenář soom.cz :-) Jo a ten pokus s „google černým textem“ byl fakt trapnej. Hoď sem ještě jeden kde bude ten text v rámečku třeba na lupa.cz :-)

    před 7 lety | reagoval [72] Emkei
  72. Emkei http://www.pentester.cz/ #72

    avatar

    #71 @thu, ten log byl z channelu soomu, kam ma pristup kdokoliv a muj nick tam vubec nefiguroval, nebot jsem o tom utoku nevedel a uz vubec jsem se na nem nepodilel. tvoje konspiracni teorie jsou jednoduse ubohe.
    na soomu, na googlu i na lupe, viz http://www.lupa.cz/vyhledavani/?… se jedna o pouhe neperzistentni psani textu do stranky editaci URL, pouze hloupym lamam to prijde jako neuveritelny hack.

    před 7 lety | reagoval [73] Mue [74] @th
  73. Mue #73

    avatar

    #72 Emkei, Nesouhlasim.. Zatimco na Google u Lupe jde poznat, ze je to ve vyhledavacim policku, tak uzivatele napadne ze to neni text stranek. Na Soom to neni v zadnym inputu, vypada to jako regulerni cast stranek :)

    před 7 lety | reagoval [75] Emkei
  74. @th #74

    avatar

    #72 Emkei, jo ale jakou „fekál akci“ zveřejněna část IRC logu mapuje? Proč se vyhýbáš odpovědi? :-) Ps: Tu pobídku tituluješ „hackem“ ty. Věřím, že ve stejném stylu vyvolávaš dojem, že něco umíš hlavně u lidí co nechápou ským maj tu čest. Když se podíváš o pár komentů nahoru, link je okopírován z webu kterého obsah nejdříve popíráš, pak píšeš, že jsou to lži a pak, že o tom nic nevíš. Nikdo tu o hacku nepsal. Standardně inteligentní část publika jsi zabil tím jak se chováš, ten zbitek si od tebe stejně nic nekoupí. Běž raději nasekat dřeva, maminka to zajisté ocení víc. Večer je blízko a prej bude chladno.

    před 7 lety | reagoval [75] Emkei
  75. Emkei http://www.pentester.cz/ #75

    avatar

    #73 Mue, staci se podivat do URL a chytrym navstevnikum to hned dojde, ti hloupi me nezajimaji.

    #74 @thu, zadne odpovedi se nevyhybam. co si vzpominam, tak se tam zadna „fekál akce“ neresila, nybrz subdomeny. ne, tu pobidku jsem „hackem“ netituloval ja, nybrz autor stranky soom.phorum.cz, kterou zde tak vehementne prosazujes. zbytek nema smysl komentovat, pouze dokazujes, co jsi za ubozaka…

    před 7 lety | reagoval [77] @th
  76. Iekme #76

    avatar

    Emkei: Když někde na chodbě s ozvěnou zavoláš „Jsem idiot!“, vrací se ti „Jsi idiot!“?

    před 7 lety | reagoval [78] Emkei
  77. @th #77

    avatar

    #75 Emkei, ta první část komentáře je jako odpověď svědků jehovových. K té druhé části, titulováno (a již jednou vysvětleno) s odkazem na to co ty & co. „umíte“. Pokud nechápeš, že je to narážka a kevšemu to přejímáš a používáš, musím konstatovat, že vtipnější by bylo kdybys napsal „topíme uhlím“ a, že se začínáš ztrácet.

    Starší diskuzi stará paka versus mladí chlapci rád uvedu jeden postřeh. Na webu prožíváš již řadu let. Po (5i letech?) existence je za tebou vidět pouze hnědá čára.

    Ohledně konstatování kým údajně jsem (citace: ubozak). I kdyby to byla pravda Emkei, nesnažím se ze sebe dělat jiného člověka.

    Hezké by bylo napsat: To fekální péčko a koště v zadnici, mi v době kdy jsem to dával na cizí weby přišlo jako dobrý vtip. Už jsem ale vyrostl. Nikdo by tomu nevěřil no byl bys vnímán jako (lehce ujetý no) odpovědný člověk.

    Jo narozdíl od tebe nebudu mít o pár let problém přihlásit se na libovolném místě k názorům a skutkům. Rozhodně dneska nebudu psát ha ha to fekální porno na cizím webu je fakt sranda a zítra ja nic nevědět :-) to nebýt já :-)

    před 7 lety | reagoval [78] Emkei
  78. Emkei http://www.pentester.cz/ #78

    avatar

    #76 Iekme, mne ne, ale tobe za takto „konstruktivni“ prispevek urcite ano…

    #77 @thu, prvnim dvoum odstavcum vubec nerozumim, a pravdepodobne nebudu sam. co se tyce tretiho odstavce, muzes prosim uvest, kde ze sebe delam nekoho, kym nejsem? k fekalnimu pornu se vic vyjadrovat nehodlam, pouze ti doporucim vysadit prasky a alespon na maly moment pripustit moznost, ze jsem s tim nic spolecneho nemel, kdyz pro ty sve teorie nemas nejmensi dukaz (ani nemuzes mit).

    před 7 lety | reagoval [80] @th
  79. Roman #79

    avatar

    Emkei zjavne prečítal až do konca príručku „Idiot's guide to beating your opponents in asynchronous online discussion.“ (…ktorú (áno ja viem že sa opakujem) mimochodom napisal moj pradedo) . Diskutuje totiž s dôrazom osy obletujúcej pohár kofoly v záhradnej reštike a neuchopiteľnostou slizkého úhora. Repsect…

    Akosi som stratil cit na to rozoznať totálneho sociopatického blbca od premotivovaného arogantného génia s obsesívno kompulzívnou poruchou. Tak sa len čudujem pri čítaní tejto diskusie a čakám kedy konečne príde nejaký killing argument. Ale ten akosi neprichádza. A asi už ani nepríde. Kde sú tie časy keď som si w prehliadači naťukal mizantropa aby som sa dozvedel aký mám na problém vlastne názor.

    před 7 lety
  80. @th #80

    avatar

    #78 Emkei, vím, že je vás hodně a máte podobný osud. Stejně jako soom.cz (jaký pán taký krám) který vojela každá haxorská grupa co na slovensku nebo v čechách existuje. Proč se ti každý smějě? :-) Proto, že to co píšem není pravda? Dneska už nestojíš nikomu ani za to aby tě vojel.

    Důkaz? Zrušený web soom.phorum.cz který dokumentoval tvoje aktivity kolem uploadu fekálního porna na cizí weby redir na soom.cz. Když někdo po 3 letech (konečně) vytáhne osinu ze zadnice (pomocí falešného udání) a udělá tak fatální chybu, že doménu přesměruje na sebe, mluví za vše. Pohádkám o tom, že stím nemáš nic společného neuvěří ani postižené dítě. Nebo to i něco stálo? V podmínkách registrace na ic.cz je redirect zapovězen. Že to administrace kvituje :-)

    před 7 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.