Примеры таких взломов, мне кажется, нужно обязательно добавлять в обязательную программу для обучения любых IT-специалистов, связанных с программированием и настройкой, а не только с безопасностью. Это должно сформировать ощущение хрупкости безопасности проектируемых систем. А-то сплошь и рядом вижу недооценку опасности и наивное пренебрежение даже простейшими мерами безопасности а-ля «да что через такую ошибку можно сделать?..»
Ещё надо больно бить программистов по фиговому листочку принципа неуловимого Джо, коим те любят прикрываться, мол, «кому это надо нас ломать». Такие атаки можно автоматизировать, а значит цена поиска и эксплуатации уязвимости может стремиться к нулю. Вас могут сломать просто так, нечаянно или просто за компанию, сломать и, возможно, даже не заметить. Какова будет цена вопроса для вашего производства, бизнеса? Даже это трудно предугадать. Нужно воспитывать в себе здоровый и конструктивный страх и осторожность в этих джунглях.

Шикарная статья! Прочитал на одном дыхании.
Поддерживаю trapwalker

Были времена, когда ЭВМ были Большими и не совсем персональными, в это время был журнал «Х», постоянно что то взламывали, спасали бобра. Эх.

Благодарю за статью.

Отличная статья, жаль, что мало плюсов.

Спасибо большое за статью! Если у вас есть возможность опубликовать бинарник — это было бы отличным дополнением, ведь одно дело прочесть, а другое дело попробовать все самостоятельно :-)
Работая с WEB-разработчиками такого повидал… И у всех этот принцип «Неуловимого Джо». Один такой чудик сказал «Да через XSS нас никто ломать не будет». В течение 10 минут показал ему, как его поделки ломаются и через них валит спам. Причем с использованием авторизации на корпоративном SMTP. Ответ был шикарен «Ну не всеж такие умные! Сайтов много в интернете. Вероятность, что нас сломают — не велика». Уволили его на той-же неделе.
Автору за статью огромное спасибо! Ненапряжная интересная и понятная статья. Дам ка я ее как домашнее задание нашим «программистам» почитать…
Только зарегистрированные пользователи могут оставлять комментарии.
Войдите, пожалуйста.