лог из чата взломавших PlayStation Network

Ну что тут сказать, РЕШЕТО!

in the url itself you can define if you get the game free or not
> password=MYPASS
Это гениально, я считаю.

Я когда первый раз веб приложения увидел, пароль в куках хранил. Для сравнения потом.

Видать, там того же уровня разработчики.

ну до конца мая они хотят вернуть сервис к жизни lol

>ну до конца мая они хотят вернуть сервис к жизни lol

И правильно! а если не вернут, то придется всем ЛОРом их заDDoSить.

Угу, вон, слор до сих пор не открывается :p

> in the url itself you can define if you get the game free or not. requires some modification in hashes and so on tho

Мило.

А не вброс ли это Sony? Странно, что в такой большой компании с 100500 пользователями перед Apache не стоял фронтэнд.

> Странно, что в такой большой компании с 100500 пользователями перед Apache не стоял фронтэнд.

фронтэнд

&serviceid=IV0001-NPXS01001_00&loginid=MYMAIL&password=MYPASS&first=true&consoleid=MYID

in the url itself you can define if you get the game free or not

Освежитель воздуха от радиоактивной пыли не спасёт.

Я на миг увидел его за^W око, но потом сдохли css. через 10 секунд: http://ibin.mikhe.ru/?f97f333ff4

Освежитель воздуха от радиоактивной пыли не спасёт.

[user12] I consider apache 2.2.15 old
[user2] which server
[user12] it also has known vulnerabilities

Данные были украдены якобы через уязвимость в Apache. Хэши это все ерунда по сравнению с данными кредитных карточек пользователей.

Там с 2006 года был HTTPS, и т.к приставка не была взломана, то и угадать урлы никто не мог.

А по теме - нужны настоящие пруфы, а не только логи IRC :)

>Данные были украдены якобы через уязвимость в Apache.
Бред сивой кобылы про апач. Начал какой то «секурити специалист из США», а теперь подхватили все остальные.

Даже не подставляя себя в виде инсайдера, без понтов, факты:
- По интернету постоянно ходят ТЫСЯЧИ сканеров на дырки, автоматики, с целью создания ботнетов, размещения дорвеев и поднятия проксиков.
- Все (100%) сервисы PSN, там где есть Apache висели на стандартных 80 и 443 портах.
- Единственное но (для qa* sp-int dev* серверов, на них стояла HTTP авторизация). Если бы была незакрытая, публичная дырка в апачике, то сервера были бы тупо пробекдорены на автомате, тристо лет назад.

Хачили 100% через скрипты, адреса которых стало легко вытащить после взлома консоли (т.к появилась возможность создать SSL proxy).

Дырявый апач, это сродни открытому ssh c 123456 на руте.

Стоит на пол дня оставить на руте простой (совсем примитивный пароль), то вас сразу же сломают, сменят пароль, поставят скрипты, разошлют спам и побрутят ещё 10000 таких же серверов.

И конкретно по внутряку сони, когда мы его изучали, то ситуации «ОФИГЕТЬ СТАРЫЙ АПАЧ/TOMCAT/Sun Java Server/говно мамонта» были по факту каждый день, по 20 раз. Только все было запатчено, хотя хедеры старые.
Ынтерпрайз и сервера с явой, они такие, там сам черт ногу сломит.

Хачили 100% через скрипты, адреса которых стало легко вытащить после взлома консоли (т.к появилась возможность создать SSL proxy).

свечку держал?

Нет, участвовал вероятно в другой компании людей, видел потенциальные дырки с логов SSL.
Но цели у нас были другие, и к PSN они совершенно не относились.

К слову, подсети SCEI/Sony Japan никуда не девались (работают полностью), и даже посканив их можно понять, что версия апача != наличие дырок.

И да, Apache у них везде работает как SSL сервер, за ним всегда стоят sun(или просто tomcat, т.е ява, PSN почти весь на яве, как и весь софт SCEE)/win (для CFM, половина внутряка на нем).

И да, я просто не люблю наглую ложь, потому и пишу.
У них там все десять раз дырявое, и нараспашку.
И через год ничего не изменится, но ломали их не через апачи, потому что никто яву на обычных апачах не крутит.