Latest posts for the topic "hack site, ứng dụng thương mại ?"

hack site, ứng dụng thương mại ?

m3onh0x84 — GMT

Em ngại hỏi và biết câu hỏi này sớm muộn gì cũng bị xóa, ignore, ẩn bài đi nhưng kiểu gì thì em cũng phải hỏi. Mong bà con thứ lỗi cho. Em hỏi câu này ở đây vì hva có thể đông dân nhất nên hỏi dễ được ý kiến đa chiều, xác đáng. Bên ceh.vn có 1 cái cảnh báo này: Cảnh báo cho các newbi khi thực hành hack! - http://ceh.vn/@4rum/showthread.php?2385-C%E1%BA%A3nh-b%C3%A1o-cho-c%C3%A1c-newbi-khi-th%E1%BB%B1c-h%C3%A0nh-hack!&p=6730#post6730 vậy câu hỏi của em là : 1/ làm sao hack vói ý tốt (để site nạn nhân còn sống), kiểm tra độ an toàn, bảo mật của 1 site, ứng dụng thương mại, .... mà k0 bị C15 sờ gáy. Những điều kiện cần và đủ nào để check, hack, test, 1 website, ứng dụng thương mại mà với ý tốt mà k0 bị CA tóm ? (trách nhiệm và nghĩa vụ những gì ạ ? ) Tuy hva đã khóa box kiểm tra bảo mật rồi nhưng ở đây vẫn còn nhiều người giỏi đã đi làm có nhiều kinh nghiệm rồi thì share ít kinh nghiệm cho đàn em học hỏi với. 2/ Làm sao để check, test các site thương mại (vd như ddos,m up shell, .... chẳng hạn ) mà k0 ảnh hưởng công việc, tiến độ kinh doanh của họ ? Đang bức xúc k0 biết diễn đạt nên có gì sai sót mong bà con bỏ quá cho :D

hack site, ứng dụng thương mại ?

conmale — GMT

Bài này đã được dời vô "Trash" nhưng tôi quyết định dời ra mục "Thâm nhập" để trả lời cho rốt ráo. Mục đích của việc làm này không phải cổ suý những hành động thâm nhập bất hợp pháp và phi đạo đức mà để làm rõ một vài khía cạnh về hành động "penetration" đúng nghĩa của nó. - "hack với ý tốt". Thế nào là "hack với ý tốt"? Bất cứ một hành động xâm nhập không được sự đồng ý của chủ nhân đều có thể được xem là bất hợp pháp. "Ý tốt" là một khái niệm rất lờ mờ cho nên không thể dựa vào "ý tốt" để bào chữa cho hành động bất hợp pháp. Để không bị tóm, điều duy nhất có thể làm là tìm kiếm sự đồng ý của chủ nhân thay vì lẳng lặng mà thực hiện việc này. Không có một bào chữa nào có thể được coi là thoả đáng nếu như không có sự đồng ý của chủ nhân ngay cả việc "hack" này không tạo ra bất cứ dung hại nào. Nếu vẫn muốn tiến hành theo kiểu "underground" thì phải dàn dựng đường đi nước bước để dấu vết và tạo những khó khăn trong việc truy tìm thủ phạm. - "làm sao để check mà không ảnh hưởng...."? Không có "check" nào mà không ảnh hưởng hết. Bất cứ tác động nào đến một hệ thống đều có ảnh hưởng nhỏ và lớn khác nhau. Đây cũng là lý do tại sao cần phải có sự đồng ý của chủ nhân trước khi "check" bởi vì chẳng ai muốn hệ thống của mình bị gián đoạn vì một lý do mình không biết. Thử hình dung mình đang ở nhà mình một cách bình yên. Tự nhiên có mấy "hiệp sĩ" ở đâu ban đêm trổ ngói chui vô để kiểm tra giúp thử cửa nẻo nhà mình có "bảo mật" hay không. Ai chấp nhận được việc này?

hack site, ứng dụng thương mại ?

Ky0shir0 — GMT

conmale wrote:

Để không bị tóm, điều duy nhất có thể làm là tìm kiếm sự đồng ý của chủ nhân thay vì lẳng lặng mà thực hiện việc này. Không có một bào chữa nào có thể được coi là thoả đáng nếu như không có sự đồng ý của chủ nhân ngay cả việc "hack" này không tạo ra bất cứ dung hại nào. Nếu vẫn muốn tiến hành theo kiểu "underground" thì phải dàn dựng đường đi nước bước để dấu vết và tạo những khó khăn trong việc truy tìm thủ phạm.

Hi anh conmale. Đoạn này em chưa hiểu, mong anh nói rõ hơn được không?

hack site, ứng dụng thương mại ?

conmale — GMT

Ky0shir0 wrote:

conmale wrote:

Để không bị tóm, điều duy nhất có thể làm là tìm kiếm sự đồng ý của chủ nhân thay vì lẳng lặng mà thực hiện việc này. Không có một bào chữa nào có thể được coi là thoả đáng nếu như không có sự đồng ý của chủ nhân ngay cả việc "hack" này không tạo ra bất cứ dung hại nào. Nếu vẫn muốn tiến hành theo kiểu "underground" thì phải dàn dựng đường đi nước bước để dấu vết và tạo những khó khăn trong việc truy tìm thủ phạm.
Hi anh conmale. Đoạn này em chưa hiểu, mong anh nói rõ hơn được không?

Hì hì, chẳng lẽ anh phải trình bày chi tiết sao em? Nguyên tắc là thế này: - Như em biết, trong một mạng (LAN, WAN, Internet...) để truy cập từ điểm này sang điểm khác em phải có điểm xuất phát và điểm đích. Trong trường hợp TCP/IP, em phải có source IP (máy em) và destination IP (mục tiêu). Hầu hết các hệ thống ngày nay đều có một (hoặc nhiều) cơ chế ghi nhận các truy cập. Bởi vậy, để các cơ chế không ghi nhận source IP (thật của mình) thì cần phải dàn dựng làm sao đó để các cơ chế đó ghi nhận source IP là một IP nào khác. Giả sứ đi mình là A, muốn truy cập đến đích là B và muốn che giấu A thì từ A phải nhảy sang X, Y, Z.... để cho cơ chế ghi nhận kia lưu trữ thông tin Z chớ không lưu trữ thông tin A. - Dàn dựng ra làm sao còn tuỳ thuộc vào mục tiêu là gì nữa. Ví dụ mục tiêu là trang web và muốn tấn công thuần tuý trên web thì có thể dựa hoàn toàn trên cơ chế proxy hoặc bất cứ cái gì hiểu và làm việc được với HTTP. Nếu mục tiêu là cái gì khác nữa thì phải tìm ra những cơ chế tương thích để "nhảy" từ điểm này sang điểm kia. Điều quan trọng là quá trình dàn dựng sao cho hợp lý và làm sao để việc trace ngược lại Z, Y, X... đến A khó khăn. - Dấu vết ở mỗi chặng đều có (ví dụ đi từ đâu đến, lúc nào, làm những gì....) và tuỳ mỗi cơ chế, mỗi ấn định mà những thông tin ấy được ghi nhận nhiều hay ít. Bởi vậy, không những phải nắm mục tiêu mình thâm nhập mà còn phải nắm vững "chặng" mình dùng để "nhảy" để từ đó có thể xoá tối đa những dấu vết do mình tạo ra (ví dụ như trong logs, history, events.....). Nguyên tắc là vậy, áp dụng ra làm sao còn tuỳ thuộc vào... khả năng sáng tạo và kiến thức của từng người.

hack site, ứng dụng thương mại ?

Ikut3 — GMT

Không biết đúng không nhưng có vẻ câu hỏi này thiên về yếu tố pháp luật hơn là kĩ thuật Ở đây anh m3o muốn được tường tận về chuyện hợp pháp cũng như bất hợp pháp khi tham gia "làm việc tốt" cho 1 website. Bản thân chuyện hack luôn có nhiều mặt của nó, và hầu như khi đụng chạm đến cụm từ này số đông vẫn luôn cho rằng nó là xấu. Về ý câu 1 thì đúng như chú Conmale đã nói : ngoài việc tự nguyện, chấp thuận cho phép từ Owner site đó ra chắc không còn lí lẽ nào khác đúng đắn hơn cho việc bảo vệ quyền lợi của Hacker tránh khỏi số 8 của các cơ quan chức năng thẩm quyển Bản thân câu 2 : Em nghĩ có thế nào cũng vẫn phải được phép của Owner Site cho phép sử dụng Source hiện tại Site đang chạy và build lên 1 site tương tự nhưng chỉ giành riêng cho mục đích TEST. Với những lỗ hổng của site test đang mắc phải thì sẽ có những biện pháp sửa chữa vá lỗi cho site thật. Dẫu sao việc xin source từ 1 webiste để sử dụng cho việc kiểm tra vẫn khá xa vời và tương đuơng với sự đồng ý của Owner site Chỉ lạ là càng lúc càng không thiếu các trung tâm đào tạo và giảng dạy về các chứng chỉ bảo mật ở VN sẵn sàng tạo dựng các môi trường thực hành bằng những tình huống cụ thể và thực tế. Nhờ vậy, họ "giúp ích" vào việc nhìn nhận cũng như "vẽ đường" gián tiếp cho các ý niệm xấu về Hack

hack site, ứng dụng thương mại ?

m3onh0x84 — GMT

cám ơn chú conmale đã dời bài, làm rõ giúp . cám ơn ikut3 đã thảo luận. các ý của chú conmale và ikut3 nói hoàn toàn đúng. Lúc câu hỏi này của cháu bị xóa, cháu có google và đọc được cái này: /hvaonline/posts/list/27490.html - cần công ty tư vấn bảo mật Vậy cháu hiểu: để hack, test, check 1 site nào càn phải có bảo hiểm gồm: hợp đồng, bằng cấp/ chứng chỉ, bảo hiểm kinh tế. "hack với ý tốt" là check site trong mọi tình huống (biết mã nguồn và k0 biết mã nguồn) nhưng không được làm site dừng hoạt dộng. vd ddos site thật với mức bandwith vừa phải k0 làm cạn hết banwith : Nhưng lúc hỏi bài đầu, cháu tức quá nên còn thiếu 1 ý nữa: Vậy trong trường hợp muốn hack, test, check 1 site phạm pháp (xxx với tên miền .vn, up soft cr4ck ) thì ngoài cái chứng chỉ CEH ra còn cần những gì ạ ? Cháu hay xem trinh thám nên có vd đơn giản : cảnh sát ập vào nhà nghi phạm tìm tang chứng, khám nhà thì càn phải có trát của tòa. Nếu như không có trát của tòa thì làm sao khám nhà được ạ ? Vậy khi hack, test, chek có cần giấy phép hành nghề, thẻ (như thẻ nhà báo, phù hiệu và số hiệu của cảnh sát, ) Cháu lấy vd không phải để bới móc chuyện cũ: vd 2: bkis xâm nhập server bot net tìm code virus được vì họ là cty có danh tiếng, uy tín (ở 1 mức độ nào đó) vd 3: khi công an bắt diễn đàn mocxi (web sex) thì lấy cái gì chứng minh họ là công an, và có quyền gì để lấy đồ và khi hành động xâm nhập để điều tra của công an mạng thì có gì khác với xâm nhập để phá hoại của trộm cắp @Ky0shir0: bác nạp tiền reg nick vào mấy forum under ground là biết hà :D. Em nghĩ chắc loanh quanh là xóa user, del bài, xóa log, .xóa 1 phần database ... thui. nhưng rât khó qua mặt google cache @Ikut3: câu hỏi 2 trả lời hay lắm, thanks. Mới biết có mỗi athena cung cấp free host cho ai thi xong ceh để thực hành nhưng thấy xin khó quá :( ps: tạm thế đã, có gì bổ sung sau, bà con thảo luận nhẹ nhàng chút

hack site, ứng dụng thương mại ?

m3onh0x84 — GMT

Và không biết hợp đồng check, hack, test site có điều kiện giữ bí mật thông tin k0 mà nhiều forum IT có cảnh báo công khai : Những site abc, xyz ... có lỗi suy ra : Họ làm vậy có vi phạm hợp đồng không ạ ?

hack site, ứng dụng thương mại ?

Ky0shir0 — GMT

Hi anh. Anh cũng từng quản trị rất nhiều hệ thống, vậy anh đã ứng xử thế nào với những người "đang đêm trổ ngói chui vào". Ở đây, cứ cho mặc định là họ vào "làm việc tốt" và hệ thống anh quản trị là "thương mại". Ky0shir0

hack site, ứng dụng thương mại ?

Ar0 — GMT

Theo tớ nghĩ thì dù tốt hay xấu gì thì việc đó cũng không chấp nhận được và cần được ngăn chặn, vì nó ảnh hướng trực tiếp hoặc gián tiếp đến uy tín và chất lượng dịch vụ chúng ta cung cấp, hơn nữa vấn đề rò rĩ thông tin là không tránh khỏi. Nếu thực sự có ý tốt họ có thể liên hệ, và chúng ta có thể chủ động để lại thông tin của chúng ta như email để họ liên lạc ngay trên hệ thống của mình.

hack site, ứng dụng thương mại ?

conmale — GMT

m3onh0x84 wrote:

Vậy cháu hiểu: để hack, test, check 1 site nào càn phải có bảo hiểm gồm: hợp đồng, bằng cấp/ chứng chỉ, bảo hiểm kinh tế.

Đây là những thủ tục pháp lý để tránh rầy rà. Mỗi nơi có mỗi yêu cầu khác nhau nhưng nói tóm lại, "hack", "test", "check" theo kiểu mấy anh chàng kiddies lôi đâu ra mấy cái tools như acunetix rồi nửa đêm ngồi đó mà rà điên khùng, thấy được lỗi nào đó rồi tự động "hack" giùm thì không thể chấp nhận được. Đây là hành động phá hoại được núp đằng sau mấy thuật ngữ "hack", "test", "check"...

m3onh0x84 wrote:

"hack với ý tốt" là check site trong mọi tình huống (biết mã nguồn và k0 biết mã nguồn) nhưng không được làm site dừng hoạt dộng. vd ddos site thật với mức bandwith vừa phải k0 làm cạn hết banwith :

"ý tốt" hay "ý xấu" chỉ khác nhau có một điểm: hack là tìm ra giải pháp để khắc phục trở ngại. Ở đây, trở ngại có thể là một lỗi nào đó khiến cho hệ thống không hoạt động như dự tưởng mà có thể hoàn toàn bị ngưng trệ do ai đó táy máy. Giải pháp ở đây có thể là bất cứ biện pháp (hoặc tập họp các biện pháp) nhằm ngăn chặn lỗi ấy "bị" thực thi. Thông thường, "ý xấu" dừng lại ở chỗ thâm nhập và tàn hại một mục tiêu vì lý do nào đó và hoàn toàn không có ý xây dựng và khắc phục. "ý tốt" thì luôn luôn hàm chứa hoặc thể hiện cụ thể ý định xây dựng và khắc phục. Cho dù "hack", "check", "test" không làm cho hệ thống sụp đổ đi chăng nữa, việc làm đó cũng không thể chấp nhận được nếu không có sự đồng ý của chủ nhân và không có thể hiện ý định xây dựng và khắc phục.

m3onh0x84 wrote:

Nhưng lúc hỏi bài đầu, cháu tức quá nên còn thiếu 1 ý nữa: Vậy trong trường hợp muốn hack, test, check 1 site phạm pháp (xxx với tên miền .vn, up soft cr4ck ) thì ngoài cái chứng chỉ CEH ra còn cần những gì ạ ?

Ai cho quyền mình tự đánh giá một site nào đó là phạm pháp vậy? Một site hoặc một con người chỉ có thể phạm pháp sau khi được toà án xét xử một cách công minh và rõ ràng. Bản thân những "hacker" không phải là toà án và không có quyền tự quyết định một site nào đó là phạm pháp. Còn chuyện có CEH chẳng là cái gì hết. Đó chỉ là một chứng chỉ mà bất cứ ai cũng có thể lấy được và nó không có giá trị pháp lý để tự cho phép phán đoán tính bất hợp pháp của bất cứ đối tượng nào, nó càng không có tư cách pháp lý để tạo bất cứ hành động nào đến mục tiêu.

m3onh0x84 wrote:

Cháu hay xem trinh thám nên có vd đơn giản : cảnh sát ập vào nhà nghi phạm tìm tang chứng, khám nhà thì càn phải có trát của tòa. Nếu như không có trát của tòa thì làm sao khám nhà được ạ ? Vậy khi hack, test, chek có cần giấy phép hành nghề, thẻ (như thẻ nhà báo, phù hiệu và số hiệu của cảnh sát, )

Khám nhà, xét theo góc độ điều tra và thu thập bằng chứng cần thiết để thừa hành pháp luật, thì phải có những bằng chứng, những biểu hiện thoả đáng và vững vàng thì mới có thể được "ông toà" cấp cho trát toà. Nếu một ai đó có những hành vi, những biểu hiện nào đó phạm pháp nhưng chưa đủ chứng cứ để đưa kẻ ấy ra toà thì những nhân viên công lực có thể thuyết phục "ông toà" cấp cho họ trát toà để tiến hành xét nhà. "Ông toà" phải là một người công minh, sáng suốt và tôn trọng pháp luật, biết dùng lý trí để quyết định cấp trát hay từ chối. Những nhân viên công lực cũng phải khoa học, chính xác và vô tư khi tiến hành điều tra một sự vụ gì đó. Họ phải thu thập đủ những biểu hiện và hình thành đủ logic để thuyết phục được cấp trát. Những thắc mắc của cháu thuộc pham trù luật và thi hành luật cho nên khó có thể phân giải một cách rốt ráo trên một diễn đàn kỹ thuật như HVA. Chú chỉ có thể tóm gọn lại là: pháp luật và việc thi hành pháp luật cần chính xác, công minh, khoa học và nhân đạo. Luật được tạo ra là để gìn giữ sự nhịp nhàng và ổn định của xã hội chớ không phải là công cụ để phục vụ các mục đích quyền lực nào khác.

m3onh0x84 wrote:

Cháu lấy vd không phải để bới móc chuyện cũ: vd 2: bkis xâm nhập server bot net tìm code virus được vì họ là cty có danh tiếng, uy tín (ở 1 mức độ nào đó)

Trong trường hợp đó, xét về mặt pháp luật, bkis sai. Họ không thể dùng danh tiếng của một công ty để làm một việc trái với pháp luật. Không phải là một công ty danh tiếng và có uy tín thì nghiễm nhiên có quyền đứng trên pháp luật, huống hồ chi server kia thuộc một quốc gia khác. May mắn cho bkis là không có công ty nào "press charge", nếu không thì có lẽ cũng phiền.

m3onh0x84 wrote:

vd 3: khi công an bắt diễn đàn mocxi (web sex) thì lấy cái gì chứng minh họ là công an, và có quyền gì để lấy đồ và khi hành động xâm nhập để điều tra của công an mạng thì có gì khác với xâm nhập để phá hoại của trộm cắp

web sex thì bằng chứng và biểu hiện quá rõ. Chẳng có gì cần phải điều tra nữa. Nếu luật pháp VN không chấp nhận web sex thì bất cứ site nào tàng trữ bất cứ thông tin, hình ảnh có liên quan tới dạng này đều có thể bị truy tố trước pháp luật. Công an không cần phải xâm nhập để điều tra vì thông tin đã quá rõ. Họ chỉ cần sự giúp đỡ và phối hợp của các ISP là đủ. Bởi vậy, so sánh tinh thần "xâm nhập" của công an ở đây với tinh thần xâm nhập để phá hoại thì hoàn toàn trật.

hack site, ứng dụng thương mại ?

conmale — GMT

Ky0shir0 wrote:

Hi anh. Anh cũng từng quản trị rất nhiều hệ thống, vậy anh đã ứng xử thế nào với những người "đang đêm trổ ngói chui vào". Ở đây, cứ cho mặc định là họ vào "làm việc tốt" và hệ thống anh quản trị là "thương mại". Ky0shir0

Cái này thì tuỳ mức độ dung hại của từng trường hợp. Tuy nhiên, anh như một người quản trị, chỉ có thể ngưng và cô lập ngay hệ thống bị xâm nhập. Sau đó thu thập hết tất cả các thông tin (logs, history, trace, events.....) và trình cho các cơ quan thi hành luật pháp để họ điều tra và xử lý. Trách nhiệm của một người quản lý hệ thống luôn luôn là cố gắng bảo mật ớ mức tối đa và luôn luôn phục hồi hệ thống trong khoảng thời gian ngắn nhất. Việc điều tra và thi hành pháp luật là việc của các cơ quan thi hành luật chớ không phải là việc của nhân viên kỹ thuật IT :).

hack site, ứng dụng thương mại ?

sasser01052004 — GMT

Hì hì, chẳng lẽ anh phải trình bày chi tiết sao em? Nguyên tắc là thế này: - Như em biết, trong một mạng (LAN, WAN, Internet...) để truy cập từ điểm này sang điểm khác em phải có điểm xuất phát và điểm đích. Trong trường hợp TCP/IP, em phải có source IP (máy em) và destination IP (mục tiêu). Hầu hết các hệ thống ngày nay đều có một (hoặc nhiều) cơ chế ghi nhận các truy cập. Bởi vậy, để các cơ chế không ghi nhận source IP (thật của mình) thì cần phải dàn dựng làm sao đó để các cơ chế đó ghi nhận source IP là một IP nào khác. Giả sứ đi mình là A, muốn truy cập đến đích là B và muốn che giấu A thì từ A phải nhảy sang X, Y, Z.... để cho cơ chế ghi nhận kia lưu trữ thông tin Z chớ không lưu trữ thông tin A. - Dàn dựng ra làm sao còn tuỳ thuộc vào mục tiêu là gì nữa. Ví dụ mục tiêu là trang web và muốn tấn công thuần tuý trên web thì có thể dựa hoàn toàn trên cơ chế proxy hoặc bất cứ cái gì hiểu và làm việc được với HTTP. Nếu mục tiêu là cái gì khác nữa thì phải tìm ra những cơ chế tương thích để "nhảy" từ điểm này sang điểm kia. Điều quan trọng là quá trình dàn dựng sao cho hợp lý và làm sao để việc trace ngược lại Z, Y, X... đến A khó khăn. - Dấu vết ở mỗi chặng đều có (ví dụ đi từ đâu đến, lúc nào, làm những gì....) và tuỳ mỗi cơ chế, mỗi ấn định mà những thông tin ấy được ghi nhận nhiều hay ít. Bởi vậy, không những phải nắm mục tiêu mình thâm nhập mà còn phải nắm vững "chặng" mình dùng để "nhảy" để từ đó có thể xoá tối đa những dấu vết do mình tạo ra (ví dụ như trong logs, history, events.....). Nguyên tắc là vậy, áp dụng ra làm sao còn tuỳ thuộc vào... khả năng sáng tạo và kiến thức của từng người.

Hi hi, anh comale vẽ đuờng cho hươu chạy kìa. Lỡ hươu chạy thiệt thì chết.:)

hack site, ứng dụng thương mại ?

xnohat — GMT

m3onh0x84 wrote:

Em ngại hỏi và biết câu hỏi này sớm muộn gì cũng bị xóa, ignore, ẩn bài đi nhưng kiểu gì thì em cũng phải hỏi. Mong bà con thứ lỗi cho. Em hỏi câu này ở đây vì hva có thể đông dân nhất nên hỏi dễ được ý kiến đa chiều, xác đáng. Bên ceh.vn có 1 cái cảnh báo này: Cảnh báo cho các newbi khi thực hành hack! - http://ceh.vn/@4rum/showthread.php?2385-C%E1%BA%A3nh-b%C3%A1o-cho-c%C3%A1c-newbi-khi-th%E1%BB%B1c-h%C3%A0nh-hack!&p=6730#post6730 vậy câu hỏi của em là : 1/ làm sao hack vói ý tốt (để site nạn nhân còn sống), kiểm tra độ an toàn, bảo mật của 1 site, ứng dụng thương mại, .... mà k0 bị C15 sờ gáy. Những điều kiện cần và đủ nào để check, hack, test, 1 website, ứng dụng thương mại mà với ý tốt mà k0 bị CA tóm ? (trách nhiệm và nghĩa vụ những gì ạ ? ) Tuy hva đã khóa box kiểm tra bảo mật rồi nhưng ở đây vẫn còn nhiều người giỏi đã đi làm có nhiều kinh nghiệm rồi thì share ít kinh nghiệm cho đàn em học hỏi với. 2/ Làm sao để check, test các site thương mại (vd như ddos,m up shell, .... chẳng hạn ) mà k0 ảnh hưởng công việc, tiến độ kinh doanh của họ ? Đang bức xúc k0 biết diễn đạt nên có gì sai sót mong bà con bỏ quá cho :D

Có một khía cạnh khác cần làm rõ hơn trong việc "check" hay "hack" một ứng dụng thương mại. Đầu tiên ta lấy ví dụ từ việc mrro tìm ra lỗ hổng bảo mật của nền tảng ASP.NET của M$ . Việc này tôi cho là chính đáng và đúng pháp luật, vì mrro thực hiện việc tìm hiểu, và khai thác thử nghiệm lỗi bảo mật trên phiên bản ứng dụng thương mại mà anh ấy trả tiền mua và có quyền sử dụng nó theo ý của anh ấy , và anh ấy đã sử dụng theo "cách riêng" để nó lòi ra lỗi Việc check lỗi bảo mật trong hành động trên khác hoàn toàn với hành động "hack" máy chủ nào đó mà BKIS cho là máy chủ kiểm soát botnet, vì BKIS không trả tiền hoặc được công nhận toàn quyền sử dụng máy chủ mà họ tấn công Xét tới việc "hack" hay "check" lỗi bảo mật ở một website nào đó, nếu bạn tấn công vào website của chính bạn thì bạn không phạm luật, vì bạn có toàn quyền sở hữu và định đoạt website ( chỉ website thôi nhá, không phải là cả cái server chứa website :D ). Vậy các công ty như CMC infosec có dịch vụ check lỗi bảo mật website tại sao họ không phạm luật ? Vì họ được trả tiền, và được chủ website công nhận, và cho phép bằng văn bản, hoặc các dạng hợp đồng dân sự khác Do đó, cái quan trọng nằm ở chỗ người thực hiện hành động check có quyền sở hữu, định đoạt hoặc được ủy quyền định đoạt đối với website hay ứng dụng mà anh ta check hay không Theo tôi, rất sai lầm khi nhiều người sử dụng hiểu biết kĩ thuật để check một website nào đó trước khi được phép của chủ nhân website, rồi gửi một thông điệp cho chủ nhân website báo về lỗi đó, và ung dung với lương tâm là mình làm điều thiện. Vì ai biết được anh tìm ra lỗi trong website của họ, anh có dám chắc là bảo mật hoàn toàn việc này chỉ có mình anh biết, hay anh đã ( hay sẽ ) đăng lên một diễn đàn, hoặc mạng xã hội nào đó là anh đã hack được website của khổ chủ và lên tiếng "cảnh báo" ?

hack site, ứng dụng thương mại ?

Ky0shir0 — GMT

Công việc của Ky0shir0 đang làm là quản trị hệ thống web-server của công ty. Thực lòng mà nói, hệ thống hoạt động ổn định hay không là "miếng cơm manh áo" của mình. Ky0shir0 phản đối mọi hành động chọc ngoáy vào hệ thống của mình đang quản lý vì bất kỳ lý do và động cơ nào! Dĩ nhiên trừ khi đó là chỉ thị bằng văn bản của sếp :)

hack site, ứng dụng thương mại ?

m3onh0x84 — GMT

Ok, cám ơn chú conmale và a xnohat đã nhiệt tình trả lời. Phần còn lại để cháu đi tìm mấy cuốn sách, văn bản luật đọc tiếp. Xem ra muốn "ăn chơi" thì phải "nâng cấp" kéo cáp quang về tự mình "thác loạn tự sướng" thôi. Hình như ở VN ngoài cái bằng/ chứng chỉ CEH, MCSA, ... còn chưa có cái thẻ, giấy phép chuyên viên bảo mật ? Vậy các cty như bluemoon, bkis, cmcinfosec, .... hoạt động dựa vào cái gì ngoài hợp đồng dân sự ? Danh tiếng - cái này cháu nghĩ nó rất không ổn định :D Tính cháu nó thế: không chơi thì thôi đã chơi thì phải tự mình chơi từ a > z . Cháu cần, phải, muốn biết rõ mình đang làm cái gì và cái gì sẽ chờ mình. Mũ gì đi nữa thì cháu cũng muốn đường đường chính chính mà phóng xe cho thoải mái. Giả sử em phóng xe phạm luật giao thông thì em cũng muốn biết cụ thể mình phạm luật gì và ai phạt, thà nộp phạt cho kho bạc còn hơn phải đóng cho công an. @Ky0shir0: bác phản đối to gâp 1 tỷ lần cũng vô ích. Giả dụ em hack site do bác quản trị, nhưng k0 defecace mà cài trojan, bot net vào server của bác. Nếu như bác giỏi hơn e, tóm được đuôi của e thì bác có thể bắt được e. Nhưng nếu bác k0 tóm được đuôi của em, thì rất có thể bác bị vỡ, mất bát cơm hay phải đổi nghề khác. Hacker tốt bụng thì nó liên lạc, cảnh báo với bác, k0 để lộ thông tin nội bộ của server ra ngoài công cộng , còn xấu tính thì server, web site cúa bác thành "hàng hoá" " đồ chơi " trong tay h@ck3r Giả sử em k0 hack site của bác thì thể nào chả có thằng khác ở tầy, tàu, mĩ, iran, tuy ni di ... mò vào. Hàng ngày vẫn có x cuộc tấn công lộ liễu hay thầm lặng vào các site thương mại, chính phủ, ..... nhưng k0 lộ dấu vết. Ai lần ra dấu vết, điều tra được nào ? Và điều tra được thì có quyền, có khả năng xử, kiện hay k0 ?

hack site, ứng dụng thương mại ?

hvthang — GMT

m3onh0x84 có vẻ húng nhỉ. B-) Tôi chỉ có mấy điều tâm niệm: - Muốn người khác không biết trừ khi mình đừng làm; - Cụ thể đối với hành vi thâm nhập với bất kỳ mục đích gì - nếu không có sự đồng ý của chủ sở hữu thì đều vi phạm nghiệm trọng pháp luật về quyền sở hữu tài sản cá nhân và đạo đức nghề nghiệp. Trong trường hợp bạn phát hiện được lỗi dưới góc độ người sử dụng dịch vụ - bạn hoàn toàn có thể chủ động thông báo cho người quản trị.

hack site, ứng dụng thương mại ?

tmd — GMT

Đạo đức không được xét trong hoàn cảnh này. Cầm dao giết người thì còn sợ chứ gỏ bàn phím để gây thiệt hại thì có người nào sợ đâu.

hack site, ứng dụng thương mại ?

tmd — GMT

Người ta ngồi hack thì bà con làm gì để biết ?. Đợi hacker khai báo ? Đã đi khai báo thì 50%(hoặc 100%) phần trăm thông tin đã lộ? -> Hack site thương mại chỉ tính là an toan khi chính người lập tự hack lấy chính mình.

hack site, ứng dụng thương mại ?

dnv2006 — GMT

m3onh0x84 wrote:

Em ngại hỏi và biết câu hỏi này sớm muộn gì cũng bị xóa, ignore, ẩn bài đi nhưng kiểu gì thì em cũng phải hỏi. Mong bà con thứ lỗi cho. Em hỏi câu này ở đây vì hva có thể đông dân nhất nên hỏi dễ được ý kiến đa chiều, xác đáng. Bên ceh.vn có 1 cái cảnh báo này: Cảnh báo cho các newbi khi thực hành hack! - http://ceh.vn/@4rum/showthread.php?2385-C%E1%BA%A3nh-b%C3%A1o-cho-c%C3%A1c-newbi-khi-th%E1%BB%B1c-h%C3%A0nh-hack!&p=6730#post6730 vậy câu hỏi của em là : 1/ làm sao hack vói ý tốt (để site nạn nhân còn sống), kiểm tra độ an toàn, bảo mật của 1 site, ứng dụng thương mại, .... mà k0 bị C15 sờ gáy. Những điều kiện cần và đủ nào để check, hack, test, 1 website, ứng dụng thương mại mà với ý tốt mà k0 bị CA tóm ? (trách nhiệm và nghĩa vụ những gì ạ ? ) Tuy hva đã khóa box kiểm tra bảo mật rồi nhưng ở đây vẫn còn nhiều người giỏi đã đi làm có nhiều kinh nghiệm rồi thì share ít kinh nghiệm cho đàn em học hỏi với. 2/ Làm sao để check, test các site thương mại (vd như ddos,m up shell, .... chẳng hạn ) mà k0 ảnh hưởng công việc, tiến độ kinh doanh của họ ? Đang bức xúc k0 biết diễn đạt nên có gì sai sót mong bà con bỏ quá cho :D

Đọc xong đau hết cả đầu. Cố mà đi dò lỗi rồi thông báo cho công ty hoặc người phụ trách IT, phụ trách website của họ. thế thôi. Đừng có để chữ hacked by m3onh0x84 hay cái gì đó làm biến đổi website của họ là được. có mỗi cái thế thôi mà...

hack site, ứng dụng thương mại ?

chiro8x — GMT

Mọi hành động xâm phạm khi chưa được phép đều là phạm tội rồi. Nếu bạn tình cờ phát hiện ra một lỗi của website thì việc bạn báo cho chủ nhân của nó cũng không lấy gì đãm bảo cho việc bạn không bị truy tố trách nhiệm trước pháp luật. Việc này liên quan tới luật pháp chứ không phải là một lĩnh vực it. Việc hack tốt nhất cứ âm thầm mà làm, âm thầm biết và học hỏi. Ông bà ta nói rồi, cóc chết tại miệng.

hack site, ứng dụng thương mại ?

chiro8x — GMT

tmd wrote:

Người ta ngồi hack thì bà con làm gì để biết ?. Đợi hacker khai báo ? Đã đi khai báo thì 50%(hoặc 100%) phần trăm thông tin đã lộ? -> Hack site thương mại chỉ tính là an toan khi chính người lập tự hack lấy chính mình.

Câu trả lời này thật thú vị :). Ưhm có lẽ đây là điều an toàn nhất. Nhà mình mình sửa đừng cố nhìn sang nhà hàng xóm làm gì =)).

hack site, ứng dụng thương mại ?

m3onh0x84 — GMT

hvthang wrote:

Muốn người khác không biết trừ khi mình đừng làm;

câu này bác nói đúng, chính vì thế e chả dại héc :D

hvthang wrote:

Cụ thể đối với hành vi thâm nhập với bất kỳ mục đích gì - nếu không có sự đồng ý của chủ sở hữu thì đều vi phạm nghiệm trọng pháp luật về quyền sở hữu tài sản cá nhân và đạo đức nghề nghiệp. Trong trường hợp bạn phát hiện được lỗi dưới góc độ người sử dụng dịch vụ - bạn hoàn toàn có thể chủ động thông báo cho người quản trị.

2/ cũng đúng nhưng em thấy đúng 1 nữa vì tình hình có rất nhiều cuộc hack, test, check cả công khai lẫn bí mất, cả cả thông báo cho chủ nhân biết hay lặng lẽ quậy phá Em biết em là tay mơ, con gà béo trong ngạch này nhưng giả sử e là kẻ đi check, test thì em : 1 - sẽ k0 chơi deface, làm vậy chả khác gi lạy ông tui ở bụi này. 2 - k0 chơi up shell, backdoor. vì đó là cách phá hoại, Trừ trường hợp admin, tác giả biết mà làm lơ, k0 trả lời, k0 chịu fix, trơ. Thế chả khác gì công sức e đi check, test là đổ sổng đổ biển, e là kẻ nhàn cư bất thiện. admin, tác giả k0 chịu fix, thì e chắc chỉ còn nước mượn tạm tài nguyên dùng chùa ít bữa vậy (e k0 làm thì cũng có kẻ khác làm thôi) Thêm nữa còn trường hợp giống như bkis ngày trước : được test, check sản phẩm bkav pro, bkav của mình lòi ra lỗi. k0 hiệu quả,... hỏi support, khiếu nại thì admin, support làm lơ, k0 phản hồi thì ae sẽ tính sao ? (Em chỉ đưa vụ bkis ra làm ví dụ thôi, ai mà nhè vd này mà chém vụ là em không nể nang gì hết đâu nha) Em k0 muốn tiếp cái vụ này vì k0 thấy luật an toàn thông tin đâu cả ? nhưng sáng nay googling: luat an toan thong tin viet nam thì ra cái thông tin này: http://www.quantrimang.com.vn/tintuc/tin-trong-nuoc/75934_2014-Viet-Nam-se-co-Luat-An-toan-thong-tin.aspx Phải đợi tới 2014 mới có dự thảo, các bà con ae "vừa hét vừa cầm cờ" cứ vô tư đi , còn lâu mới "phải đi uống trà" =)) -:-)

hack site, ứng dụng thương mại ?

m3onh0x84 — GMT

update: kiếm được 1 câu chuyện hơi dài bên ceh.vn cho anh em tham khảo: Hãy thay đổi góc nhìn với "hacker" : http://ceh.vn/@4rum/showthread.php?145-H%C3%A3y-thay-%C4%91%E1%BB%95i-g%C3%B3c-nh%C3%ACn-v%E1%BB%9Bi-quot-hacker-quot

hack site, ứng dụng thương mại ?

tmd — GMT

m3onh0x84 wrote:

update: kiếm được 1 câu chuyện hơi dài bên ceh.vn cho anh em tham khảo: Hãy thay đổi góc nhìn với "hacker" : http://ceh.vn/@4rum/showthread.php?145-H%C3%A3y-thay-%C4%91%E1%BB%95i-g%C3%B3c-nh%C3%ACn-v%E1%BB%9Bi-quot-hacker-quot

Đang tự sướng hay sao vậy. Anh chàng này hô hào sợt siết này nọ cho đã tay. Nhưng hắn ta thì hơi bị u mê khi search. #:S /hvaonline/posts/list/0/3078.html Xem trong 2 cái link bên trên, có cái gì giống nhau. =)) . Tui đố bà con đó. Nói chung là phải xem thử cho "gần" chính xác, một đoạn văn được lập đi lập lại trên internet ở các nơi khác nhau, đã được ra đời bởi ai, khi nào, lúc nào, ở mô. Demo khai mở cho câu đố vui vẽ

giờ đồng hồ (thậm chí nhiều ngày) chỉ để hiểu cho thật

hack site, ứng dụng thương mại ?

dexxa — GMT

Đọc cái link của m3onh0x84 thì tôi càng thấy vui và tự hào thêm cho HVA Vì suy cho cùng bài ở trên cũng chỉ là collect các ý của anh conmale , mrro v.v.. thêm 1 vài ý tứ để tạo thành 1 bài cho mình. Với mục đích cuối cùng là để tự sướng chứ không phải sẻ chia. Họ những người đã và đang bị bệnh "hãnh tiến" luôn coi những thành tích, những sẻ chia kinh nghiệm của người khác là của mình, vơ vào của mình.

Tôi không nhớ rõ bao nhiêu lần tôi nhận được thông điệp với dạng "Anh ơi chỉ cho em cách hack với". Những thông điệp này đến từ e-mail, tin nhắn của Yahoo, tin nhắn trên diễn đàn..v..v.. Điều lý thú là những người gởi thông điệp này có khả năng và kinh nghiệm về CNTT ở mức độ khác nhau (sau khi tôi thử tìm hiểu và tiếp xúc để biết được điều này)

Tốt nhất là bạn m3o hạn chế việc quăng link các bài mang tính "vẽ vời" ở forum CEH lại. Với cả CEH dạy hacking chứ đâu có dạy make up.