گزارش مسوولانه مشکلات امنیتی هاست جادی.نت

ماجرای وبلاگ من اینه که روی یه هاستی زندگی می‌کنه که سال‌های سال که نه.. دهه‌ها از این سرور به اون سرور رفته بدون اینکه من هیچ وقت خیلی وقت نگاه کنم روش چی هست. معمولا همه فایل‌ها رو کپی کردم و خب همین سرور رو هم بارها در بازی‌های CTF به عنوان سرور تست استفاده کردم و روش اسکریپت ران کردم یا فایلی رو گذاشتم کسی برداره و حتی به کسانی دسترسی دادم که بهش وصل بشن و اینجور چیزها.

چند روز پیش تصمیم گرفتم سرور رو منتقل کنم به یه هاست جدید و سریعا هم اینکار رو کردم. چند ساعتی نگذشته بود که دیدم یکی ایمیل زده و دو سه تا فایل که منطقا نباید توی وبلاگ دیده می‌شدن رو برام فرستاده و گفته خیلی بامزه بود. کمی بررسی نشون داد سرور جدید چند تا مشکل امنیتی داره؛ بدترینش امکان لیست کردن فایل‌های دایرکتوری‌ها که خب در سرور قبلی بسته بوده ولی اینجا کانفیگش رو منتقل نکرده بودم.

خلاصه بعد از رد و بدل چندین ایمیل با امید نصیری پویا و زنده شدن یکسری خاطرات لابلای فایل‌ها، تنظیمات رو درست کردم و کلی فایل اضافه رو هم حذف کردم. امید اجازه گرفت که این مساله رو عمومی بنویسه و از نظر منم خیلی عالیه و باعث خوشحالی و مهم ذکر سه تا نکته است:

۱. همه چیز باگ داره. موقع باگ باونتی شاید موفق بشین از گوگل هم باگ‌های بسیار بدیهی بگیرین. بستگی به زمان‌بندی داره و شانس و نگاه کردن به جایی که قبلا کسی نگاه نکرده و … ناامید نباشین
۲. ابزارها کمک‌های خوبی هستن. در این مورد یه ابزار فازر بخشی از بار رو داشت که مثلا میاد چک می کنه ایا روی دامین جادی فایلی مثل upload, login, important, password, password.zip, mine.txt و … هست یا نه و اگر باشه خبر می ده
۳. تست کنین و یاد بگیرین و به جای اذیت کردن بر اساس نتایج، از نتایج برای یادگیری بیشتر + کسب اعتبار مثبت استفاده کنین
۴. اگر کسی چنین گزارشی بهتون داد ازش تشکر کنین و حتما در موردش بنویسین که عمومی مشخص باشه

در همین مدت یک روزه که روی سرور جدید بودیم یه دوست دیگه هم امنیت سایت رو چک کرد و یکی دو مورد رو تذکر داد که خب از نظر امنیتی قابل توجه بودن اما در مورد وبلاگ من حاد حساب نمی شدن. حداقل در سطح فهم من (: اوه.. اینم بگم که امید باونتی پیشنهادی رو هم رد کرد. البته خیلی کوچیک بود ولی به عنوان یادگاری.