• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    XCHAOSPiráti.cz (unofficial) vs. hloupí a zlí trollové, co proti nim vystupují
    MAKROUSEK
    MAKROUSEK --- ---
    HOBORG: Doubala (stavajiciho reditele) navrhl Kolarik (Pirati). Stejne jako reditele predtim (Chrasteckeho), ktereho pak musel stahnout, protoze se na nej provalilo, ze je to zlocinec (jako ostatne vsichni Pirati).
    DANYSEK
    DANYSEK --- ---
    HOBORG: Michal Blaha, pisu to tady opakovane. Mas to primo na webu. A pise se to i u Piratu, ze v te dozorci rade NAKITu drepi.
    HOBORG
    HOBORG --- ---
    DANYSEK: kdo sedi v Nakitu za Piraty?
    DANYSEK
    DANYSEK --- ---
    NIEKT0: ale ty porad prehlizis to, ze i v NAKITu sedi lidi "za Piraty"... OK, potvrzujes, ze jen rozdavate trafiky kamaradum :D (krom jineho treba tvemu stranickemu kolegovi Michalu Blahovi)
    Ale odpovednost nest neumite... i kdyz jako Pirati mate plnou hubu odpovednosti politiku - kterym uz dnes i ten Michal Blaha je, ze? ;-)
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: Sam si cuckarek, Ak tam mali naozaj nastavenu proxy/loadbalancer tak, ze povolovala pristup do CMS2, to mali vcelku slusnu bugu. Akurat s tym toho pirati moc nemaju, to je stale nakit/vnitro. Bezpecnost ma podla webu v gescii Rohel, co je ex-nukib a vsetko mozne ine.

    Pozeram kto im robi pentesty, a vyzera ze je to asi corpus cez 2 dcerinky, tak asi slusna vizitka no.
    (na druhu stranu, kto vie co si presne objednali, tie sumy za testy su skor male na to aby testovali vsetko)
    DoxoLogic, s.r.o. , Praha IČO 27903656 - Obchodní rejstřík firem | Kurzy.cz
    https://rejstrik-firem.kurzy.cz/27903656/doxologic-sro/
    STRATEGICSTAR s.r.o. , Praha IČO 19530030 - Obchodní rejstřík firem | Kurzy.cz
    https://rejstrik-firem.kurzy.cz/19530030/strategicstar-sro/
    Martin Listopad Praha - Obchodní rejstřík | Kurzy.cz
    https://rejstrik-firem.kurzy.cz/osoba/2395946/

    Kazdopadne takto to uz aspon dava zmysel na rozdiel od uvodnych prispevkov, a mozem to hodit prave ludom v DR, thx.
    DANYSEK
    DANYSEK --- ---
    NIEKT0: ano, "teraz nie". Takze tim chces rict, ze mozny leak v case evidentni konfiguracni chyby zadny bezpecnostni problem neni, cuckari? ;-)

    Ja si teda dovolim podotknout, ze v dozorci rade NAKITu sedi krom jineho jisty Michal Blaha, coz je... badumtss.. krom jineho jeden z kandidatu za Piraty ted v krajskych volbach ;-) A druhym je jisty Mesrsmid, coz jen tak mimochodem je Bartusuv kun z DIA. Takze vymluvy jen na vnitro jsou fakt uz trapny.
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: No super, tak aspon sme sa dobrali k tomu, ze tam teraz ziadny problem nevidis. Uz som fakt nevedel, ci mi nahodou nieco neunika.

    No co ti poviem, nakit/vnitro. Mozes sa pozriet kto im robi pentesty, a poradit lepsie no. To sa bojim ze s piratmi (bohuzial) nic spolocne nema, tam vladne ina partaj.
    DANYSEK
    DANYSEK --- ---
    NIEKT0: ano, ted uz to nefunguje... to vim taky, takze diky captain obvious :D
    Fungovalo to v dobe, kdy ten Portal obcana byl rozesranej, tedy prave v dobe kdy to vracelo ten jinej cert z testovaciho prostredi.
    Taky to chvili vracelo sice cert ke spravny domene, ale expirovanej k 6.cervenci (kolem 16:22)... to se zjevne nekdo zoufale snazil o jakousi disaster recovery. A pak tam zase zpet naskocilo to testovaci prostredi. Ocividne zmatek a chaos. A k pricinam se samozrejme taktne mlci.
    Za to, zes zaspal spravny cas na to se podivat ja nemuzu... :-)
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: Kedy? skusal som to potom co si to napisal, a nefungovalo to, rovnako ako to nefunguje teraz.
    DANYSEK
    DANYSEK --- ---
    NIEKT0: ta proxy to poustela do celyho internetu ty noumo.... aneb stacilo si do hosts zapsat prislusny hostname a SNI zaridilo zbytek. Ty veci co mas v tom certu byly proste normalne dostupny zvenci.
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: Tak mi ukaz ako pristupis k testovaciemu prostrediu, mozno mi fakt nieco nedochadza
    DANYSEK
    DANYSEK --- ---
    NIEKT0: jasne, ono z testovacich prostredi nikdy zadny data neutekla... no jen pokracuj, cuckari :)
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: Este raz AKU informaciu si ziskal, ktora nebola verejna? Si schopny relevatne odpovedat?
    DANYSEK
    DANYSEK --- ---
    NIEKT0: jo aha, takze ty ses proste rozhodl to bagatelizovat jen proto, ze by za to nedejboze mohl nest politickou odpovednost Ivan... ty ses fakt security looser :D
    Jo stat se to za Babise, tak se od Piratu ozyva hlasity krik, ze? :-)
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: A tym si teda dosiahol co? Dostal si sa k tej internej webovke? ziskal si nejaku informaciu co nebola verejna doteraz?
    DANYSEK
    DANYSEK --- ---
    NIEKT0: no teda zrovna u tebe bych cekal, ze aspon dig pouzit umis.... 🤣 Teda kyberbezpecak, co nikdy neslysel ani o split DNS... je to s tebou zda se horsi nez se zda 😆
    Ano, na verejnem interne to nesedelo... dokud to nejaky diletant blbe nenastavil ten balancer / reverzni proxy, co to pustila do sveta 😆

    ; <<>> DiG 9.20.0-Debian <<>> @ns1.gov.cz test.edoklady.cms2.cz
    ; (2 servers found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52426
    ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
    ;; WARNING: recursion requested but not available
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 1232
    ; COOKIE: 3a80c98fedc4789e0100000066be32b24b43a3a6be7c008b (good)
    ;; QUESTION SECTION:
    ;test.edoklady.cms2.cz.		IN	A
    
    ;; AUTHORITY SECTION:
    cms2.cz.		3600	IN	SOA	ns1.gov.cz. hostmaster.nakit.cz. 2024081401 86400 7200 2419200 10800
    
    ;; Query time: 3 msec
    ;; SERVER: 2a01:5bc0:0:1004::66#53(ns1.gov.cz) (UDP)
    ;; WHEN: Thu Aug 15 18:54:10 CEST 2024
    ;; MSG SIZE  rcvd: 150
    
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: Akoze sa dostanes na web z domeny .cms2.cz? To asi nesedis uplne na verejnom internete... ni?:) Na co ti preklada ten test.edoklady.cms2.cz?
    DANYSEK
    DANYSEK --- ---
    NIEKT0: zpristupneni neverejnych veci do internetu... jasne, to neni vubec zadny problem :) Jak s tim souvisi certificate transparency? No nijak... ta vec (zcela funkcne) proste utekla nekam, odkud vubec byt pristupna nemela.
    Je teda ale zajimavy, ze "uspechy" kolem CMS se Pirati chlubej radi, naposledy dnes a hezky si k veci "z CMS" prilepi Bartosuv ksicht... ale jak nastane pruser, najednou s tim nic spolecnyho najednou nemaj :D
    NIEKT0
    NIEKT0 --- ---
    DANYSEK: cms2 je afaik este stale nakit, ale jo, zhodneme sa ze cela CMS nie je zrovna centrum excelencie.

    Akurat nechapem co za issue sa z toho kolega "kyberexpert" snazi vyrobit, kvoli certificate transparency mas vsetky podpisane domeny davno verejne, teda kym sa nerozhodnes pouzivat wildcardove certifikaty (co skor nechces prave z hladiska bezpecnosti, ale mozno ma presvedcis) viz napr. https://crt.sh/?q=cms2.cz

    Welcome to internet 2024.
    DANYSEK
    DANYSEK --- ---
    a id NIEK0 nezapomina minusickovat... aspon vime, kdo ma potrebu ten diletantismus obhajovat :D tak co ty kyberexperte, to ze tamtudy ven leaknula zjevne i testovaci instance k eDokladum co je jinak verejne nepristupna je podle tebe taky cajk? 🤣

    Kliknutím sem můžete změnit nastavení reklam