Источник [DLMURL]https://yushchuk.livejournal.com/240739.html[/DLMURL]
Привожу материал "as is". Объяснено, на мой взгляд, отлично. Автор: lukamud , Источник: [DLMURL]https://lukamud.livejournal.com/23151.html[/DLMURL]
Далее - цитата.
Особенности национального хака. Черновые записи визита президента в ДФО в открытом доступе?
В последнее время yushchuk , dobryi_leshii и др. активно эксплуатируют «одну из особенностей» веб сервера Apache для поиска нужных для работы материалов. Но изложено это в такой непонятно для обывателя форме, что это сподобило меня на написание отдельного поста.
Да простят меня коллеги я расскажу про это на обывательском уровне. И так при обращении пользователя с помощью браузера (программа с помощью которой смотрят интернет странички) к некоторому URL (это то, что Вы набираете в окошке браузера типа https://it2b.ru/company/hreshebnik/blog/ ... m=facebook com) веб- или HTTP-сервер принимает клиентский запрос, обрабатывает его и передает запрашиваемые данные. Эти данные, обрабатываются браузером и визуализируются на экране.
Первый HTTP-сервер изобрели в 1990 г. в «Европейской организации по ядерным исследованиям» (CERN). В настоящее время мне известно порядка десяти типов HTTP-серверов, наиболее распространенным является Apache (Apache HTTP Server). Все они работают в типовых случаях примерно одинаково. Поэтому в дальнейшем, будем рассматривать на примере Apache. Если в каталог (директорию, папочку) который определен корневым для сервера, положить файлик с именем index.html, содержащий некий HTML код, то пользователь, обратившийся к ресурсу увидит соответствующую страничку. А что будет если в этот каталог не положить ни одного файла, или положить один или несколько файлов, имеющих имена отличные от index.html ? В этом случае ответ сервера зависит от его настроек. Можно настроить сервер так, что он не будет показывать содержание каталога, а можно и так, что бы HTTP-сервер автоматически индексировал содержимое каталога и формировал соответствующую страничку. Примерный вид этой странички можно увидеть вначале поста.
Обратите внимание, на этой, автоматически сгенерированной странице находятся фраза «Index of», наименование HTTP-сервера - «Apache», имена файлов и дата их модификации. Это обстоятельство позволяет легко находить такие страницы с помощью поисковых систем.
Меня заинтересовал вопрос, много ли подобных страниц на официальных государственных сайтах РФ? Для этого я спросил у Google:
2010 "index +of" apache site:gov.ru
На общечеловеческом языке это означает, что
«Уважаемый г-н Google, не могли бы Вы мне сказать, имеются ли автоматически создаваемые с помощью Apache, содержащие свежую, за 2010 г. информацию, индексные странички, на хостах в зоне (на сайтах названия которых заканчиваются на) gov.ru, используемой для размещения официальных сайтов в РФ?»
Google мне оперативно ответил, что таких страничек примерно 722. На первой странице выдачи фигурировали сайты «Администрации г. Тамбова» https://city.tambov.gov.ru/ и сайт https://it2b.ru/company/hreshebnik/blog/ ... m=facebook по адресу https://dfo.gov.ru/ находится официальный сайт полномочного представителя Президента Российской Федерации по Дальневосточному федеральному округу). В каталоге /press/020710Preziden находились файлы с именами:
Дарькин_.zip , Дарькин_ЗВУК.mp3, Медведев_.zip , Медведев_ЗВУК.mp3, Подсъемки1.zip.
Судя по названиям, размерам и датам файлы содержат результаты видеосъемок и звукозаписей сделанных во время визита Президента РФ Д. Медведева в Дальневосточный федеральный округ. Я не имел желания ознакамливаться с этими файлами, но их наличие в Интернете, в свободном доступе меня несколько удивило. Мне кажется, что эти файлы не предназначены для публичного использования. На это указывает, например, их размещение в виде архивов. О необходимости корректной установки автоматического индексирования каталогов пишут уже не первый десяток лет. Я мог допустить, что неправильные настройки могут быть на сайтах у подростков, но на правительственных сайтах? Очень удивило.
Чисто из интереса решил узнать, а как часто пользователи Рунета интересуются подобными индексными страничками? Для этого обратился к сервису [DLMURL]https://wordstat.yandex.ru/[/DLMURL] , откуда узнал, что фразу «index +of» пользователи ищут 7555 раз в месяц.
Очень непонятным является тот факт, что этот запрос делают только пользователи из двух стран — России и Украины. Явно проявляется особенности национального «хака».
Конец цитаты.
******************************************
Я думаю, пост lukamud полезен сразу многим категориям людей.
1. Специалистам конкурентной разведки - они смогут лучше понимать инструменты, которыми пользуются.
2. Тем, кто отвечает за информационную безопасность сайтов в государственных структурах (не все столь щепетильны, что добровольно откажутся смотреть файлы, как это сделал автор поста).
3. Руководителям предприятий, которые смогут проверить работу своих IT-специалистов.
Да и государственная, и служебная тайна сохраннее будут. И таких негативных явлений, как признаки нарушения возглавляемой редактором Александром Малютиным газеты Маркер, служебной тайны Президента РФ, я надеюсь, станет меньше. Если специалисты прочтут этот материал и примут меры по наведению порядка на серверах.
А инциденты, которые все же будут происходить из-за правового беспредела нигилизма отдельных журналистов, будет проще расследовать. Ведь по-прежнему трудится в газете журналист того самого печально прославившегося Маркера, цинично заявившая во всеуслышание, что ей Уголовный Кодекс не указ. "Мне пофиг что написано в УК", - публично заявила журналист газеты Маркер. И добавила: "Я сама определяю, на что есть у меня право, а на что нет".
![url]](/proxy.php?image=http%3A%2F%2F%5Burl%3Dhttps%3A%2F%2Fpics.livejournal.com%2Fyushchuk%2Fpic%2F00178ygg.jpg%5Dhttps%3A%2F%2Fpics.livejournal.com%2Fyushchuk%2Fpic%2F00178ygg.jpg%5B%2Furl%5D&hash=d1319e61eabd879ae7b33ce7daccdefd)
И что может прилипнуть к рукам такого человека завтра, предсказать невозможно.
Привожу материал "as is". Объяснено, на мой взгляд, отлично. Автор: lukamud , Источник: [DLMURL]https://lukamud.livejournal.com/23151.html[/DLMURL]
Далее - цитата.
Особенности национального хака. Черновые записи визита президента в ДФО в открытом доступе?
В последнее время yushchuk , dobryi_leshii и др. активно эксплуатируют «одну из особенностей» веб сервера Apache для поиска нужных для работы материалов. Но изложено это в такой непонятно для обывателя форме, что это сподобило меня на написание отдельного поста.
Да простят меня коллеги я расскажу про это на обывательском уровне. И так при обращении пользователя с помощью браузера (программа с помощью которой смотрят интернет странички) к некоторому URL (это то, что Вы набираете в окошке браузера типа https://it2b.ru/company/hreshebnik/blog/ ... m=facebook com) веб- или HTTP-сервер принимает клиентский запрос, обрабатывает его и передает запрашиваемые данные. Эти данные, обрабатываются браузером и визуализируются на экране.
Первый HTTP-сервер изобрели в 1990 г. в «Европейской организации по ядерным исследованиям» (CERN). В настоящее время мне известно порядка десяти типов HTTP-серверов, наиболее распространенным является Apache (Apache HTTP Server). Все они работают в типовых случаях примерно одинаково. Поэтому в дальнейшем, будем рассматривать на примере Apache. Если в каталог (директорию, папочку) который определен корневым для сервера, положить файлик с именем index.html, содержащий некий HTML код, то пользователь, обратившийся к ресурсу увидит соответствующую страничку. А что будет если в этот каталог не положить ни одного файла, или положить один или несколько файлов, имеющих имена отличные от index.html ? В этом случае ответ сервера зависит от его настроек. Можно настроить сервер так, что он не будет показывать содержание каталога, а можно и так, что бы HTTP-сервер автоматически индексировал содержимое каталога и формировал соответствующую страничку. Примерный вид этой странички можно увидеть вначале поста.
Обратите внимание, на этой, автоматически сгенерированной странице находятся фраза «Index of», наименование HTTP-сервера - «Apache», имена файлов и дата их модификации. Это обстоятельство позволяет легко находить такие страницы с помощью поисковых систем.
Меня заинтересовал вопрос, много ли подобных страниц на официальных государственных сайтах РФ? Для этого я спросил у Google:
2010 "index +of" apache site:gov.ru
На общечеловеческом языке это означает, что
«Уважаемый г-н Google, не могли бы Вы мне сказать, имеются ли автоматически создаваемые с помощью Apache, содержащие свежую, за 2010 г. информацию, индексные странички, на хостах в зоне (на сайтах названия которых заканчиваются на) gov.ru, используемой для размещения официальных сайтов в РФ?»
Google мне оперативно ответил, что таких страничек примерно 722. На первой странице выдачи фигурировали сайты «Администрации г. Тамбова» https://city.tambov.gov.ru/ и сайт https://it2b.ru/company/hreshebnik/blog/ ... m=facebook по адресу https://dfo.gov.ru/ находится официальный сайт полномочного представителя Президента Российской Федерации по Дальневосточному федеральному округу). В каталоге /press/020710Preziden находились файлы с именами:
Дарькин_.zip , Дарькин_ЗВУК.mp3, Медведев_.zip , Медведев_ЗВУК.mp3, Подсъемки1.zip.
Судя по названиям, размерам и датам файлы содержат результаты видеосъемок и звукозаписей сделанных во время визита Президента РФ Д. Медведева в Дальневосточный федеральный округ. Я не имел желания ознакамливаться с этими файлами, но их наличие в Интернете, в свободном доступе меня несколько удивило. Мне кажется, что эти файлы не предназначены для публичного использования. На это указывает, например, их размещение в виде архивов. О необходимости корректной установки автоматического индексирования каталогов пишут уже не первый десяток лет. Я мог допустить, что неправильные настройки могут быть на сайтах у подростков, но на правительственных сайтах? Очень удивило.
Чисто из интереса решил узнать, а как часто пользователи Рунета интересуются подобными индексными страничками? Для этого обратился к сервису [DLMURL]https://wordstat.yandex.ru/[/DLMURL] , откуда узнал, что фразу «index +of» пользователи ищут 7555 раз в месяц.
Очень непонятным является тот факт, что этот запрос делают только пользователи из двух стран — России и Украины. Явно проявляется особенности национального «хака».
Конец цитаты.
******************************************
Я думаю, пост lukamud полезен сразу многим категориям людей.
1. Специалистам конкурентной разведки - они смогут лучше понимать инструменты, которыми пользуются.
2. Тем, кто отвечает за информационную безопасность сайтов в государственных структурах (не все столь щепетильны, что добровольно откажутся смотреть файлы, как это сделал автор поста).
3. Руководителям предприятий, которые смогут проверить работу своих IT-специалистов.
Да и государственная, и служебная тайна сохраннее будут. И таких негативных явлений, как признаки нарушения возглавляемой редактором Александром Малютиным газеты Маркер, служебной тайны Президента РФ, я надеюсь, станет меньше. Если специалисты прочтут этот материал и примут меры по наведению порядка на серверах.
А инциденты, которые все же будут происходить из-за правового беспредела нигилизма отдельных журналистов, будет проще расследовать. Ведь по-прежнему трудится в газете журналист того самого печально прославившегося Маркера, цинично заявившая во всеуслышание, что ей Уголовный Кодекс не указ. "Мне пофиг что написано в УК", - публично заявила журналист газеты Маркер. И добавила: "Я сама определяю, на что есть у меня право, а на что нет".
И что может прилипнуть к рукам такого человека завтра, предсказать невозможно.
ой хорошо.
