1. Куча / Говнокод #22652

    −19

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    8. 8
    Всеми основными досками объявлений по всему миру заправляет одна корпорация - "NaspersClassifieds".
    К числу обладаемых ими досок объявлений принадлежат небезызвестные "Avito.ru" (Россия) и "OLX.ua" (Украина). У последней есть аналог в Пакистане: https://www.olx.com.pk/
    Так вот, корпорация, железно держащая за яйца более пятидесяти досок объявлений по всему миру и играющая с миллиардами так же легко, как легко играет большинство из вас со своими
    членами, не может банально защитить файл ".htaccess" от скачивания извне. Ебаньки перемудрили или недомудрили с конфигурацией "Amazon AWS", в результате чего мы имеем следующее:
    
    https://olxpkstatic-a.akamaihd.net/dac636c-162/.htaccess
    https://olxpkstatic-a.akamaihd.net/dac636c-162/naspersclassifieds-shared/atlas-web-framework/static/.htaccess
    https://olxpkstatic-a.akamaihd.net/dac636c-162/naspersclassifieds-regional/olxpk-atlas-web-olxpk/static/.htaccess

    Запостил: dick, 22 Марта 2017

    Комментарии (8) RSS

    • показать все, что скрытоПродолжая тему долбоёбов в сфере досок объявлений, отмечу, что доблестные разработчики "Avito.ru" не гнушаются выставлять на "GitHub" (sic!) некоторую информацию, которая, по идее, не должна была бы выходить за пределы офиса.

      https://github.com/ntoskrnl/ServicesMessenger/blob/master/app/src/main/kotlin/ru/avito/protools/chat/sample/App.kt

      Здесь мы видим, как разработчик мобильного приложения проебал доступы к трём тестовым аккаунтам. Особый интерес представляет первый из них ("[email protected]"). На нём в данный момент находятся три тысячи тестовых фантиков; также с этого аккаунта ежедневно проводятся некие тесты личных сообщений.

      https://github.com/ntoskrnl/RealtyAddress/blob/master/app/src/main/kotlin/ru/avito/protools/address/client/RealtyHttpClient.kt

      Здесь интерес представляет строка "header("Authorization", "Basic cHJvdG9vbHM6U2lkaW5nNE1hZGUrSnVsaWQ=")". Как видим, проёбаны логин "protools" и пароль "Siding4Made+Julid". Впрочем, сейчас от них ноль пользы - с тестового сервиса https://protools.avito.ru/, к которому они относились, идёт перенаправление на https://actiagent.ru/.
      Ответить
    • показать все, что скрытоhttps://github.com/DKunin/bin/blob/10e86a7864c6b2dffced29e23a97e3f5705a9836/pullr

      Другой разработчик "Avito.ru" просрал адрес сервера с репозиторием сайта: http://stash.msk.avito.ru/projects/AV/repos/avito-site. Извне репозиторий, правда, не открывается, но, возможно, если подобрать IP-адрес из подсети, что-то и откроется; правда, надежды на это мало, так как "nmap" по подсети 185.89.12.0-255 ничего толкового не выдаёт.
      Ответить
    • показать все, что скрытоВсе остальные компроматы насчёт "OLX" доступны по простому поисковому запросу в "GitHub":

      https://github.com/search?p=1&q="olx"+"username"+"password" &type=Code

      Среди результатов поиска окопался мусор в виде всяческих левых говнопарсеров, однако это не мешает выявить и нормальные, имеющие отношение к "OLX" репозитории. Постоянно попадаются хоть ныне и устаревшие, но всё же хосты, логины и пароли к тестовым и рабочим базам данных различных сайтов "OLX", какие-то ещё логины и пароли, предназначенные непонятно для чего, и т.п.
      Ответить
    • показать все, что скрытоНо самый масштабный пиздец, который "OLX" мог допустить - компрометация логина и пароля от службы поддержки (CRM "Zendesk"). Приведу адреса служб поддержки некоторых наиболее крупных национальных версий "OLX":

      https://slando.zendesk.com/ (украинская "olx.ua" - нам ближе всего)
      https://olxin.zendesk.com/ (индийская)
      https://olxph.zendesk.com/ (филиппинская)
      https://olxpl.zendesk.com/ (польская)
      ..и т.д.

      От всех них логин и пароль одинаковы и просты:
      [email protected]
      olx9999


      Я бы мог утаить эту информацию и использовать её в своих целях, но каких-либо целей у меня нет, а чего там наделает кто-либо из вас - мне абсолютно похуй.
      Ответить
      • показать все, что скрытоКто-то заметает следы, я смотрю. Надо было на швабру выкладывать или на двощи с криком "набигаем посоны", там непуганных идиотов побольше.
        Ответить

    Добавить комментарий