0,0
рейтинг
21 марта 2011 в 20:57

Разработка → Файлы сайта-открытки ВТБ в открытом доступе

Залез сегодня на сайт Лебедева, сайты посмотреть какие он делает. Зашел потом на 20.vtb.ru — сайт открытка которую они делали в рамках 20-ти летия ВТБ. И на удивление обнаружил что помимо того что Лебедев делает сайты на Битриксе, папки движка еще и не закрыты.

Обнаружились некоторые интересные моменты:
Про раскрытие пути в принципе можно и не говорить (при попытке исполнить отдельные php-файлы)
Fatal error: Call to undefined function IncludeModuleLangFile() in /u00/app/bitrix/Apache/htdocs/bitrix/modules/corp_events/include.php on line 4

20.vtb.ru/bitrix/templates/als_vtb20/data.txt — поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt — бекап php-файла за копирайтом Лебедева — если вдруг кому интересно как там код пишут
20.vtb.ru/bitrix/modules/lol.webdavadm — интересно кто это туда залил?
20.vtb.ru/bitrix/modules/security/admin/security_panel.php — незакрытый доступ в админку Битрикса.

В принципе понятно что при создании сайта в дизайн-студии в первую очередь обсуждаются вопросы между дизайнером и копирайтером, а технологу остается по сути черновая работа… Но что мешало в .htaccess добавить что-то типа нижеприведенного я не понимаю.
<FilesMatch "\.(inc|info|templates|modules|profile|po|sh|.*sql|theme|tpl(\.php)?|xtmpl|svn-base)$|^(code-style\.pl|Entries.*|Repository|Root|Tag|Template|all-wcprops|entries|format)$">
Order allow,deny
</FilesMatch>


P.S. Cтоит отметить, что основной сайт VTB делала другая контора. И хотя тоже на Битриксе, но без косяков с открытыми папками как сайте-открытке:
www.vtb.ru/bitrix/modules
Дмитрий Королев @DmitryLoki
карма
33,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (117)

  • –20
    а Вы, простите, в тех. поддержку ВТБ написали, перед тем как здесь запостить? ответа дождались?
    если нет+нет тогда нельзя так делать, о большой белый хакер.
    сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
    • +24
      А я бы как автор поста поступил )
      • –36
        вот будете автором, тогда так и поступите.
        автор этого топика сделал неправильно.
        • –12
          где написано, что это неправильно?
        • +25
          Вот найдёте подобную дырку — тогда и поступите так, как считаете нужным. А автор поступил так, как он считает нужным.
          • +5
            Что за стереотипный подход «сперва добейся сам»?

            Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
            Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.

            Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
            Пусть учатся быстро закрывать дыры.

            Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.

            • +2
              Действительно, получилось из разряда «сперва добейся».

              Однако тон первого комментария был слишком категоричным, как на мой взгляд (издёвка «о белый хакер» тоже не добавляла ему привлекательности), что и повлекло за собой вполне ожидаемую реакцию.
        • +1
          Да как же, он запостил неумехам прямой how to как закрыть, и глядя по факту разработчики уже скопипастили решение и закрыли. Да ладно… отшлепать немного прилюдно таких монстров как ВТБ и Лебедва просто необходимо. Вот стартапчики обижать совестно, а таким надо хоть раз в год но давать публичную порку чтобы не зазнавались.
      • +11
        Когда у Вас будет свой сайт и его взломают и опубликуют инфу Вы по другому запоете :-)
        • +5
          Сайт взломан не был по факту. Лишь раскрытие некоторой некритичной информации.
          • –5
            Однако уволить кого-то за это могут. А у него можеть быть дети некормленные
      • +2
        Я вот когда-топоступил так же — написал об одном из багов в системе Приват24. К несчастью, то был мой первый топик на хабре (может и последний) и помимо многочисленных минусов пост вообще удалили. Вот так вот пиши после этого…
        • +2
          скорее всего причиной минусов стало то что ваш пост был не смешной
    • +29
      Люди за это деньги получают. Странно делать работу за других.
      • +10
        я говорю предупредить, а не исправлять. и ничего страшного в этом нету.

        этот комментарий заминусуют и не обоснуют, уверен.
        • +10
          Есть еще такие люди, как тестеры. Это их работа!
          • +7
            itspoma считает, что пользователи должны быть и тестерами: тестировать, замечать ошибки, отписывать в теподдержку, ждать ответа, принимать их ответ. Далее опять тестировать, слать обратный отчёт ждать ответа…
        • +11
          назло плюсанул, теперь мучайся в догадках
      • +5
        Да и Лебедев немало берёт к тому же…
        • +6
          Лебедев уже не тот!

          Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
          • +1
            так часто бывает, но кто останется крайним итак понятно )
            • –2
              По-хорошему, крайним должен оказаться автор поста: выложил «горячий» материал не разобравшись в вопросе.
              • 0
                Это ведь банковская структура. Тут такие бреши вообще недопустимы, кстати.
          • –2
            Проблем стоило ожидать.

            Так и есть, менагеры из банка давно передали поддержку в другую контору,
            паршивую контору, буквально, студию на три буквы
            • 0
              Можете еще раз высказать эту же мысль, но русским языком?
              • –1
                Что вам не ясно?
                Я подтверждаю ваши догадки относительно непричастности студии Лебедева к поддержке этого проекта.

                Не нравится сленг — ваши проблемы!
        • +2
          Лебедев не палится

          Артём; Сайт красивый…
    • +35
      хе =)
      поясню немного:
      обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
      тогда же у себя на сайте разместил
      сегодня от них ничего не пришло поэтому под вечер кинул сюда

      а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.

      • –2
        вот это одобряю, правильно сделал, молодец.

        просто в посте ты забыл про это упомянуть.

        вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
        некий white-hat хакер находит их.
        ты хочешь чтобы он сперва тебе сообщил про багу?
        или чтобы сразу всему миру начал рассказывать и показывать?
        уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
        • +5
          просто поскольку запрос остался без ответа посчитал это несущественным моментом…

          а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…

          эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
        • –4
          ага, а еще никто не хочет, что бы его грязное белье и черные делишки показали всем, а тут викиликс, журналюги всякие дворцы фотографируют.
    • 0
      вы так говорите, как будто это что-то плохое
    • +5
      А я считаю что подобные вещи должны освещаться.

      Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.

      А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.

      P.S. И неговорите мне что я злой и эгоистичный завистник ;)
    • 0
      Можно так делать, и нужно. Чтобы знали, суки, как за качество отвечать.
    • 0
      почему Вы считаете что автор должен куда-то писать перед тем как публиковать ссылки? автор никому ничего не должен. тем более необходимость писать в техподдержку сомнительна, откуда можно знать ошибочно открыт доступ к данным или это так задумано?
  • +12
    А никто не заметил, там когда открываешь сайт визитку в саом низу видео обращение. И вот самый первый стоп-кадр превьюшка, где этот важный дяд сидит на кресле и на заднем фоне 2 моника и ноут.
    Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
    • 0
      Наверное «пасхальное яйцо» от сисадмина)
    • +1
      да это он косынку разложил :))
  • +9
    Основной сайт тоже изначально в студии был сделан.
    Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
  • +4
    А сайт классный.
  • 0
    Ну всем свойственно ошибаться, человеческий фактор. Просто тут он проявился очень сильно.
    • +2
      Вы слишком гуманны. Это даже не ошибка. Они просто забили на такую «мелочь». Нечто подобное может допустить студент-фрилансер, для которого не существует понятия «рейтинг». Уважающая себя контора таких косяков позволять не должна.
      • +3
        Для студента-фрилансера еще не существует понятие рейтинга. А для них, видимо, уже…
  • 0
    а можно насчет этого подробнее? ни разу честно говоря чтобы заказчик говорил делаем на этой CMS и только на ней — это если сайты с нуля, а не доработка того что уже сделано.
    • 0
      упс, промахнулся… это ответ на этот коммент
      • +1
        А что странного? В крупных организациях есть IT- и PR-отделы, которые имеют свои представления о технологиях. IT — в плане долгосрочной технической поддержки, PR — в плане управления контентом и формирования аналитических отчетов. У вас, возможно, клиенты поменьше..?
  • +6
    По первой ссылке куча куча поздравлений, но иногда и встречается что-то вида: «вкладчик; сосите хуй»… Интересно, это обращение ко вкладчику от ВТБ… или обращение вкладчика к ВТБ? :)
    • +1
      да ещё и IP-шки =) можно полопатить, не комментируют ли сами себя ))
  • 0
    А что за циферки после 127.0.0.1?
    • +2
      Время в формате Unix time
  • +1
    у меня только последняя ссылка открывается, закрыли уже?
  • +13
    Закрыли, отклик через хабр оказался быстрее прямых обращений =)
  • +1
    Очень знакомый .htaccess вы привели — Drupal?
    • +1
      Он самый
  • +2
    И конечно же, никто не додумался сделать копии, да?
  • 0
    webcache.googleusercontent.com/search?q=cache:bRfD_oDfy3sJ:20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt+20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt&cd=1&hl=ru&ct=clnk&gl=ru&source=www.google.ru

    ппц код…
  • +4
    Кого-то завтра премии лишат, а то и уволят.
    • +2
      Ага, заходит разработчик сайта на хабр и покрывается холодным потом :-)
      • –1
        Судя по тому, что файлы прикрыли — разработчик сайта уже в курсе.
        Но у него ещё есть время придумать отмазку, пока Тёма в Норильске зимует.
  • +10
    требую угарных комментов
    • +4
      Не буду пихать это в топик…
      • +5
        И правильно.
  • –1
    Должен сказать, сайт производит весьма сильное впечатление. Лебедев и Ко оторвались на славу.
  • +12
    пришел ответ от ВТБ:

    Дмитрий, добрый день!

    Благодарим за информацию о «дырке» на сайте 20.vtb.ru
    Не ожидали мы такого низкого уровня безопасности
    от такой много получающей за работу компании.

    — с наилучшими пожеланиями, Василий Коцюба
    • +4
      Интересно кого они имеют ввиду, т.к. на сайте Лебедева написано, что сайт снят с поддержки в 2011.
      • +1
        Наверно Лебедев обиделся, что поддержку не продлили и дырок оставил :)
        Да и косяки могли появится уже при создании сайта, так что ВТБ теперь будет думать у кого сайты заказывать)
    • +3
      Конечно, куда проще подставить вполне адекватного исполнителя, чем сознаться в полной некомпетентности.
  • +18
    Наверное, таких правдивых отзывов мы бы никогда не услышали, если бы не автор поста.

    «Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
    • +3
      надо вывесить этот файлик в паблик, в виде доски + комменты и рейтинг))))
    • 0
      Справделивости ради — почти во всех банках нал через кассу платный — заградительный тариф, направляют людей в банкоматы. Хотя конечно странностей у ВТБ24 хватает, в частности единственный известный мне платный инет-банк.
      • 0
        ВТБ — олигополисты все-таки, им почти все можно.
        • 0
          Не путайте большой ВТБ и розничный банк ВТБ24. ВТБ24 весьма далек от монопольного статуса.
    • 0
      Этот отзыв не единственный.

      «shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
      Банк втб — кидала, наперсточник!;
      Вкладчик украинского ВТБ; Будьте внимательны!
      Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
      ВТБ — напёрсточник-кидала!;»
      • 0
        Мне кажется, имеет смысл это распространить по сети, вместе со ссылкой на кэш. Страна должна знать своих героев!
  • 0
    выложите копию, кто успел сохранить
  • +8
    Надо принт такой себе заказать в офис

    ?><?
    ?> <?
    ?>Все права защищены © 2010 ВТБ
    <?
    ?>
    <?
    ?><?
    ?>
    <?
    ?>Сделано в Студии Артемия Лебедева<?
    ?><?
    • +1
      Пардон. Так лучше:

      image
    • +2
      <3 же.
  • +3
    Шутки шутками, а в инет утекли айпишники клиентов банка.
    • +2
      db.ripe.net утекли айпишники пользователей интернета. Это на самом деле не велика потеря, тут ничего криминального нету… Там наты сплошные
  • +2
    Парни, у Битрикса в корневом .htaccess есть директива:
    Options -Indexes

    А в файле /bitrix/modules/.htaccess находится директива:
    Deny from all

    Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
    • +3
      Nginx поставили, а то, что это не apache — забыли видимо :)
      • 0
        Очевидно за nginx там все-таки Apache:
        20.vtb.ru/bitrix/modules/

        Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.

        Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
  • +2
    Ну а что вы хотели от студии, у которой автоответчик на телефоне центрального офиса матерится? Если любите Лебедева, то не минусуйте, а позвоните и дослушайте до конца список прилагательных, которые зачитывает робот.
    • 0
      Сказал же — позвоните… Или объясните, почему такого уровня компании позволяют себе такое.
      • –2
        ты так говоришь, как будто бы это что-то плохое
    • +1
      хаха позвонил +7 495 926-18-00, там Лебедев жжот на автоответчике
      только почему-то без мата
      • +1
        Это если в нерабочее время звонить.
        Если в рабочее, то будет так: video.yandex.ru/users/o08/view/6
        • 0
          Только что позвонил — довольно милое приветствие, никакого мата.
          • 0
            Ближе к концу он таки говорит, что студия охуенная.
          • 0
            Так это Лебедев записал?
  • +1
    поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
    Причем многие писали, видимо, не про ВТБ, а про ВТБ24, не понимая, что это два разных банка.
    • +3
      Ну так надо было догадаться так банки назвать! ВТБ1, ВТБ8, ВТБ42…
  • +10
    Лебедева уволят
  • –2
    За те деньги, которые он берёт, можно идеально всё сделать, ВТБ в своём репертуаре, деньги на ветер. К 20 летию делать сайт поздравительный и однозначно не за маленькие деньги, лучше бы людям ставки по ипотеке и софинансированию снизил, тьфу!
    • 0
      Только Навальному не говорите
    • 0
      С каких пор ВТБ стал заниматься ипотекой? Вы с ВТБ24 не путаете?
      • +1
        Разница? Всё равно воры и жулики :)
      • 0
        ВТБ24 дочерняя организация по отношению к ВТБ. следовательно утверждение верно.
  • +4
    >Даша; Ура, молодцы;127.0.0.1;;1287165363;;;
    Ммм… сами себе положительный отзыв написали :)
  • +6
    Я представляю себе комментарии на аналогичном сайте ПриватБанка… украинцы поймут.
    > ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
    Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
    • +1
      В «ВТБ24» произошел масштабный Хабраэффект.
    • 0
      Я бы сказал, что это «Опять сбой»
      У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.

      Осталось смешанное впечатление
    • 0
      шо, опять?!!!
    • +2
      это точно уже не я
      ^_^

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.