Názory k článku Co skrývají „otevřené“ adresáře na českém a slovenském webu?

"Explicitní pornografický materiál jsme pak nalezli na devíti ze zájmových serverů."

A kde je link?

Samozřejmě jen pro studijní účely.

S otevřenými adresáři mají problém i hackeři. Jednou jsem z nudy sledoval jeden povedený* paypal phishing, a skončil jsem v otevřeném adresáři s přístupovým formulářem (pravděpodobně k záskaným údajům) podepsaným nickem autora.

* Mělo to "kouzelný zelený zámeček" na oblbnutí mas, společnost z certifikátu formálně existovala a dokonce měli kostru webu (přesně tolik, kolik obsahu vyhodí google při vyhledávání). I adresa společnosti existovala. Sice šlo o obytný dům v Pákistánu, ale existovala.

Obcas je directory listing nejrozumnejsi rozhrani k celemu obsahu webu. Pekne dekuju za to, ze to ted kvuli vam spousta lidi zavre.

Nebo k celýmu stroji, když si člověk neohlídá symlinky. Popřípadě i k celé infrastruktuře...

Co ti brání mít na webu adresáře bez listingu, pracovat s webem v lokále a změny překlápět třeba RSYNCem? Ostatním je do adresářů houby a pokud to potřebuješ, existuje plno možností...

Pro příklad smysluplného využití můžu uvést [http://archive.mozilla.org/]. Když už open, tak sakra open!

No tak dneska asi není moc míst, kde to dává smysl. Všechno se bleje online v JS/PHP z databáze, statický web aby člověk hledal v poledne s baterkou. Pár skriptů, pár stylů a hotovo.

Uz jsem pres directory listing stahl nejeden archiv studijnich materialu nebo fotek.
Autor webu by to za bug povazoval, ale objektivne je to feature, kterou vsichni chceme zachovat.

Alebo, dobry sluha a zly pan.

Ano. Ale ta cast dobry sluha z toho clanku jaksi vypadla.

A link by nebyl?

Ne, nebyl. V diskusi na rootu fakt ne.
Nějakej chytrák by jim poslal bugreport, a oni by to zavřeli.
To bych dalším generacím studentů nemohl udělat.

Tam kde to má zmysel sa to dá povoliť (pre vybrané adresáre). Existuje vôbec ešte hosting, kde sa to nastaviť nedá?

Dalsi dil bude Co skryvaji otevrene databaze na ceskem a slovenskem webu, pak dil Co skryvaji CMS s default username/password atd...

Honzo, ve kterem mesici probehl ten sken?

Zdravím. Šlo o v podstatě celý "třetí kvartál", jak je uvedeno v textu - většina aktivit spojených s vlastním vyhledáváním serverů připadla na červenec a srpen, ale ještě v průběhu září jsme procházeli obsahy některých adresářů a kontaktovali relevantní subjekty s informacemi o nich.

"Zmínku si určitě zaslouží, že na jednom z analyzovaných serverů, který byl zjevně oblíbeným cílem útoků, jsme odhalili vizitky od více než 100 skupin a jednotlivců."

To by mě opravdu zajímalo, kdo takový server provozuje. Nešlo by alespoň naznačit? Rád vystupuji z informační bubliny a ten server je evidentně celebrita a dokonce se tam pořádají autogramiády, jen já ho prostě ještě neznám a chtěl bych svou nevědomost napravit. Vždyť je to jako kdybych neznal třeba Toma Hankse.

Taky mi to přišlo jak nějaká keška, ve které každý kačer (píšu to správně?) něco nechá.

A nejsou to zamerne honeypots?

Co třeba http://www.nexnet.cz/userfiles/files/ ?

http://www.novamaturita.cz/download/

Tohle je feature!!

Nope.

Ukaz mi v tom seznamu dokument, jehoz zverejneni necemu vadi.

Ze by ty testy v pdf (zadani) co se maji otevrit az na pokyn lektora? Ty by se asi na webu dostupne komukoliv povalovat nemnely nebo jo?

Triviálně. Zná to každý, kdo někdy blbě ručně opsal URL.
- Pokud za adresou je soubor, třeba mujewb.tld/in­dex.html, stačí smazat soubor a zůstane mujewb.tld/ Když jsou tam otevřený adresáře, zobrazí se zhruba to, co je na titulním obrázku.
- Pokud je to "holá adresa" bez souboru, přidej lomítko.
- Další možnost je třeba zkusit podadresář, třeba mujweb.tld/images/ a možnost návratu pomocí ..

Změna pár znaků v URL je fakt jenom na pár vteřin...

a co použít google?
do něj site:domena.tld index

Jenže to umazání lomítka je NEDOSTATEČNÁ kontrola.
Jestliže tam je modrewrite, který "skrývá" nějaký index.php, tak to ještě neznamená, že zadáním pár parametrů nelze modrewrite obejít a obsah adresáře vylistovat.

„Takhle kontrolu firemního webu takto za pár vteřin (ani desítek vteřin) neuděláte.“

Ale ano, ide. ... Napises si program (sme predsa aj na programatorskom webe). Vystup "vypis priecinka" ma standardnu formu, takze uz urcite nie je problem. Chybove stavy pozistujes cez HTTP protokol alebo z vystupu. Lahke zrealizovat.

To je "pár vteřin"?

Pokud chcete udelat kontrolu firemniho webu, existuji na to nastroje, firmy, lidi co to samozrejme zvladnou za Vas. Pokud si chcete doplnit znalosti, zkuste svuj oblibeny vyhledavac a treba "penetration testing", pripadne "website security testing".

Directory listing predstavuje nejsnazsi zpusob publikace souboru na netu a taky je nejcitelnejsi pro uzivatele. Kdyby se spousta webdesigneru vyflakla na design tak by se uzivatelum akorat ulevilo. Super vec je H5AI: https://larsjung.de/h5ai/demo/