Пешком по Firebase. Находим открытые базы данных, которые прячет Google - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
2-06-2021, 20:13
Пешком по Firebase. Находим открытые базы данных, которые прячет Google - «Новости»
Рейтинг:
Категория: Новости

Стро­им мобиль­ное при­ложе­ние на Firebase — бес­плат­ном и мощ­ном бэкен­де Google».

С тех­ничес­кой точ­ки зре­ния Firebase — кру­тая и удоб­ная шту­ка. Кажет­ся, что ничего док­ручивать и допили­вать здесь не нуж­но. Но безопас­ная нас­трой­ка облачной базе таки нуж­на, и мно­гие вла­дель­цы об этом забыва­ют, черес­чур рас­сла­бив­шись. Нас­толь­ко, что забыва­ют о прос­тей­шей вещи — аутен­тифика­ции.


Читайте также:   Большое разнообразие. Мы готовим лосося, угря, тунца, окуня, креветок, и часто пополняем ассортимент морепродуктов, чтобы порадовать людей с разными предпочтениями только у нас - суши в киеве заказать по доступным ценам ...


 

Ищем открытые базы данных


По­луча­ется, что в интерне­те мас­са не зак­рытых паролем баз дан­ных, а это лег­кая добыча для зло­умыш­ленни­ков. Толь­ко вот взять и нагуг­лить их не получит­ся, потому что в Google решили, что эту проб­лему мож­но решить, прос­то исклю­чив эти базы из поис­ковой выдачи. Лов­ко! Но край­не ненадеж­но.


По­иск Google по зап­росу Firebase

Нич­то не меша­ет нам вос­поль­зовать­ся дру­гим поис­ковиком — нап­ример, Bing или DuckDuckGo. Они выда­ют уже нам­ного боль­ше полез­ной информа­ции.


По­иско­вый зап­рос в Bing и DuckDuckGo

Что мож­но сде­лать даль­ше, пос­ле того как най­дены домены с уяз­вимыми базами? Откры­ваем любую ссыл­ку — нап­ример, https://hacker-news.firebaseio.com/v0/topstories.json. Информа­ция о ней бес­полез­на, но если убрать из ссыл­ки наз­вание таб­лицы topstories и оста­вить толь­ко .json, то мож­но про­верить, защище­на база или нет. В этом слу­чае резуль­тат выг­лядит вот так:


{
"error":"Permission denied"
}

Все вер­но, лич­но я бы знат­но уди­вил­ся, если бы вла­дель­цы это­го сай­та допус­тили нас­толь­ко вопи­ющую оплошность. Но некото­рые ее таки допус­кают. Минут десять перебо­ра ссы­лок, и поиск увен­чает­ся успе­хом.


Пешком по Firebase. Находим открытые базы данных, которые прячет Google - «Новости»
Най­ден­ная откры­тая база дан­ных

Я нашел что‑то более инте­рес­ное — учет­ки с хешами паролей. Выб­рать их из фай­ла нес­ложно прос­тым скрип­том на Python или ути­литой jq.


При помощи HashID опре­деля­ем тип хешей (это был MD5) и загоня­ем в hashcat. Если нет дос­таточ­но мощ­ного железа, мож­но вос­поль­зовать­ся онлай­новым сер­висом — тул­за FindMyHash авто­мати­чес­ки их под­бира­ет. Все эти ути­литы пре­дус­танов­лены в Kali Linux.


Взлом пароля через FindMyHash

Ждем десять минут, и перед нами логины и пароли в откры­том виде.


Най­ден­ная база с откры­тыми пароля­ми в откры­том виде 

Автоматизация


Си­деть, менять поис­ковики и переби­рать все URL вруч­ную очень нуд­но. Слиш­ком час­то видишь «error : Permission denied». Зна­чит, пора авто­мати­зиро­вать! Прог­рамми­ровать, прав­да, не пот­ребу­ется, потому что это уже сде­лали до нас. Возь­мем, к при­меру, скрипт за авторс­твом Фран­цеска Эрре­ры.


Скрипт сам под­бира­ет URL и ищет уяз­вимые базы дан­ных.


Ка­чаем его и уста­нав­лива­ем зависи­мос­ти:


git clone https://github.com/Turr0n/firebase.git
cd firebase
pip install -r requirements.txt

И запус­каем:


python3 firebase.py -p 4 -c 150 –dnsdumpster

Клю­чи:




  • p — ука­зыва­ет количес­тво потоков (по умол­чанию 1, мак­симум 4);


  • dnsdumpster — генери­рует URL самос­тоятель­но;


  • с — какое количес­тво доменов генери­ровать.


Да, скрипт уме­ет генери­ровать ссыл­ки самос­тоятель­но. Точ­нее, дела­ет это не сам, а обра­щает­ся за помощью к ути­лите DNSdumpster.


Ре­зуль­тат работы скрип­та

По резуль­тату вид­но, что из най­ден­ных баз:



  • 37 урлов «битые» или боль­ше не сущес­тву­ют;

  • 171 база име­ет аутен­тифика­цию при обра­щении к дан­ным и защище­на;

  • од­на база с подоз­рени­ем на уяз­вимость;

  • 25 баз не защище­ны или уяз­вимы.


Стро­им мобиль­ное при­ложе­ние на Firebase — бес­плат­ном и мощ­ном бэкен­де Google». С тех­ничес­кой точ­ки зре­ния Firebase — кру­тая и удоб­ная шту­ка. Кажет­ся, что ничего док­ручивать и допили­вать здесь не нуж­но. Но безопас­ная нас­трой­ка облачной базе таки нуж­на, и мно­гие вла­дель­цы об этом забыва­ют, черес­чур рас­сла­бив­шись. Нас­толь­ко, что забыва­ют о прос­тей­шей вещи — аутен­тифика­ции. Читайте также: Большое разнообразие. Мы готовим лосося, угря, тунца, окуня, креветок, и часто пополняем ассортимент морепродуктов, чтобы порадовать людей с разными предпочтениями только у нас - суши в киеве заказать по доступным ценам . Ищем открытые базы данных По­луча­ется, что в интерне­те мас­са не зак­рытых паролем баз дан­ных, а это лег­кая добыча для зло­умыш­ленни­ков. Толь­ко вот взять и нагуг­лить их не получит­ся, потому что в Google решили, что эту проб­лему мож­но решить, прос­то исклю­чив эти базы из поис­ковой выдачи. Лов­ко! Но край­не ненадеж­но. По­иск Google по зап­росу FirebaseНич­то не меша­ет нам вос­поль­зовать­ся дру­гим поис­ковиком — нап­ример, Bing или DuckDuckGo. Они выда­ют уже нам­ного боль­ше полез­ной информа­ции. По­иско­вый зап­рос в Bing и DuckDuckGoЧто мож­но сде­лать даль­ше, пос­ле того как най­дены домены с уяз­вимыми базами? Откры­ваем любую ссыл­ку — нап­ример, https://hacker-news.firebaseio.com/v0/topstories.json. Информа­ция о ней бес­полез­на, но если убрать из ссыл­ки наз­вание таб­лицы topstories и оста­вить толь­ко .json, то мож­но про­верить, защище­на база или нет. В этом слу­чае резуль­тат выг­лядит вот так: _

Теги: CSS

Просмотров: 830
Комментариев: 0:   2-06-2021, 20:13
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: