Взлом или развод?

да это критично, и что злоумышленник хочет за эту информацию?
хотя думаю глупый вопрос, он хочет чтобы его поблагодарили финансово, был у меня подобный случай, просто быстро лавочку с багами прикрыли и отправили "доброжелателя" лесом
по идее какие бы "благие" намерения у него не были, он ломанул ваш сайт и должен за это ответить перед законом, если его вычислить))

статья 272 ук рф

Дмитрий Глаголев, " быстро лавочку с багами прикрыли и отправили "доброжелателя" лесом"- вам помогают а вы его лесом. хоть на кофе подкинули.

Дмитрий Глаголев,
- Это не вы кошелёк потеряли?
- Что? Ой... Офицер, этот гад хотел украсть мой кошелёк, арестуйте его!

В следующий раз сработает ваша карма, и вам не будут присылать советы закрыть уязвимость, а на самом деле взломают по полной.

он ломанул ваш сайт и должен за это ответить

- Эй, есть кто-нибудь? У вас тут дверь была отрыта и окно разбито... Эй, у вас всё в порядке?..
- 911? Скореее пришлите ко мне полицию! Этот человек взломал мой дом и ворвался!..

Будет весело если взломщик начитается тут комментов и помрет со смеху :)

datka, вы уверены что он случайно нашел уязвимость? он целенаправленно ломал сайт, а потом написал владельцу
плюс он еще и воспользовался этой уязвимостью

все примеры выше, не совпадают с ситуацией, т.к. подходит больше пример с проникновением в запретную зону, за нахождение на которой предусмотрено наказание

hint000,

В следующий раз сработает ваша карма, и вам не будут присылать советы закрыть уязвимость, а на самом деле взломают по полной.

а что он в данный момент сделал?
он его итак взломал, и увидел то, что не должен был, это неправомерный доступ к информации

Дмитрий Глаголев, да не ломал он ничего целенаправлено. Прошелся массово по сайтам софтом, где нашел уязвимости, тем и написал.

Роман, про сайт автора не знаю, про свой говорю как есть, т.к. по логам видно было все действия

2cha,

просто быстро лавочку с багами прикрыли и отправили "доброжелателя" лесом

именно потому с данным сегментом не любят работать whitehat
Даже спасибо не напишут

по логам видно было все действия

если были такие хорошие логи, то почему просмотрели проникновение?

sim3x, access.log есть почти у всех

вручную устроить разбор полетов они смогли, а вот мониторить эти логи в автоматическом режиме - сложнее.

2cha, нет не случайно. Есть понятие Этичный Хакинг. Когда проверяют сайты и не только на уязвимость. Хакают сообщают владельцу,описывая процедуру как и где дырка в системе. Обычно порядочные люди вознаграждают за это. так как это не пальцем тыкать на это нужны знания и время.
на Хабре много статей про bug hunting. вот книжка по Этичному хакингу https://leanpub.com/web-hacking-101 .

Stalker_RED, оу, те в ацесслог попал весь пост запрос за аплоад скрипта, который поднял скрипт на 0.0:63333

sim3x, нет, тело POST-запроса обычно не сохраняется (хотя при желании можно и это устроить), но даже без этого можно хотябы понять в какой из обработчиков ломятся.

Stalker_RED,

Авто проверялки генерируют большой обьем запросов
Проверять все 10-100к записей в логах?

2cha,

он его итак взломал, и увидел то, что не должен был, это неправомерный доступ к информации

Из 272 статьи

Неправомерный доступ к охраняемой законом компьютерной информации

А вот тут еще доказать нужно, что информация, к которой объект получил доступ, является охраняемой законом (список, попадающей под "охраняемая законом" конкретный). Вы можете сказать, что это коммерческая тайна, однако понятие коммерческой тайны достаточно хорошо описано и подразумевается, что был установлен режим в отношении информации (даже так - четко описанного списка информации), который бы препятствовал доступу к этим данным.
Я думаю список таблиц из базы явно не попадает в перечень информации в отношении которой установлен данный режим (а скорее всего его и нет), и если это так - то это общедоступная информация

datka,

Есть понятие Этичный Хакинг

Этичный хакинг это в первую очередь хакинг - неправомерный доступ к информации, и преследуется законом.

Самое интересное когда все эти Этичные хакеры возмущаются тем что их послали нафиг, или подали на них в суд за их доброе дело. Проблема в том что добрым это дело считают только сами хакеры, а владелец сайта может считать по другому.

Например - у меня есть сайт. В нем есть уязвимость и не одна. В сайте просто не может быть уязвимости - это нереально. Но работает и ладно, работе не мешает.
И тут появляется Этичный хакер, начинает скидывать мне на почту сообщения об уязвимости, интересоваться почему я за 3дня не исправил уязвимость (вот мне делать больше нечего, щас все брошу и побегу исправлять), а так же уведомляет что распространит информацию об уязвимости если я ее не исправлю.
Ну и какие у меня должны быть добрые чувства к этому м$даку? Естественно я пошлю его далеко и надолго, а если будет назойлив - обращусь в полицию.

Обычно порядочные люди вознаграждают за это

Может случится так что и вознаградят, бывает такое. Но чаще это не вызывает ничего кроме раздражения, и желания приложить чем нибудь тяжелым этого "благодетеля"
Вот хороший анекдот в тему про вознаграждение

P.S.
Я ни в коем случае не призываю не делать добрых дел. Добрые дела делать можно и нужно!


Но следует учитывать две вещи-

• Убедитесь что дело действительно доброе. И доброе не только для вас. Слышали термин - "медвежья услуга" Или поговорку про благие намерения.
  
• Будьте готовы огрести проблем от вашего доброго дела. А что вы хотели? Нужно всегда быть готовым ответить за свои поступки, даже за хорошие. Поэтому не надо ожидать благодарности и тем паче ее требовать.
  

АртемЪ, Что для вас будет лучше Этичный хакер который укажет на уязвимость или Не Этичный хакер который сольет к слову данные вашей базы клиентов в сеть? или какой-то школоло троль который поменяет index.html на Hacked By Vovchik1337Nagi6at0P?

Да знать что хакнуты не приятно да раздраженность есть. Но вам сообщили об этом. Дали время на устранения проблемы.

Вы едете на машине и у вас спустила покрышка но вы не замечаете.
Вам другой водитель посигналил и указал что у вас севшая покрышка.
Вы пошлете его куда по дальше?