[Giải thích] Video Hacker phịt Bkav ak bê cạp

Mày cũng hơi lạc đề rồi. Vấn đề là code base của cái thiết bị kia không tốt. Bản thân thiết bị đó có OS riêng, có embedded DB. Mày lại bàn sang vấn đề dùng công nghệ thế nào để tránh bị inject SQL.

Đấy, tao chỉ cách fix code trang quản lý của tụi kia như vậy là được, cơ bản không cần phải Check gì cả. Tao nói chuyện với thằng kia về Max bảo mật chứ quan tâm gì mấy cái này
 
Đấy, tao chỉ cách fix code trang quản lý của tụi kia như vậy là được, cơ bản không cần phải Check gì cả. Tao nói chuyện với thằng kia về Max bảo mật chứ quan tâm gì mấy cái này
Mà có khi thằng BKAV đặt hàng Tàu khựa làm cái thiết bị "Bkav IPS Firewall – Next Generation (BIF)" này xong bị thằng Tàu nó chơi, để cái lỗi to đùng ở đó để khai thác sau này. Mấy bố BKAV cứ tin tưởng vừa dùng vừa bán, đéo thằng nào thèm check lại.
 
Mà có khi thằng BKAV đặt hàng Tàu khựa làm cái thiết bị "Bkav IPS Firewall – Next Generation (BIF)" này xong bị thằng Tàu nó chơi, để cái lỗi to đùng ở đó để khai thác sau này. Mấy bố BKAV cứ tin tưởng vừa dùng vừa bán, đéo thằng nào thèm check lại.
tụi Tàu cài bọ tinh vi hơn, chứ làm vậy thì lộ liễu quá, mà nói vậy chả khác nào BKAV sử dụng hệ thống mua ngoài mà không kiểm tra lại an ninh, hoặc kiểm tra mà lại để lọt? Tao nghĩ cái này chắc anh Quảng tự viết nên không ai kiểm lại, hoặc cho thằng tập sự nào đó viết rồi xong quên luôn, chứ tao không tin trình độ kỹ sư BKAV tệ tới mức này. Không thì quá bi kịch cho năng lực của kỹ sư VN.
 
Đcmm, biết thì thưa thốt, không biết thì để các anh trong nghề nói cho mà nghe, đừng có cãi. Dân xạo chó lại đòi chém gió với công nhân gõ bàn phím về kiến thức của mảng IT, rõ hài. cái thứ 2 với cái thứ 3 tao không rảnh mà trả treo với mày. Còn câu số 1 coi như tao giáo dục vì dân trí.

VPN hay còn gọi là Virtual Private Network (mạng riêng ảo), cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên Internet. Nói nôm na, công ty mày chỉ cho phép các PC trong mạng nội bộ của công ty truy cập vào 1 số tài nguyên nhất định, thông qua CÁC GIAO THỨC VPN, cụ thể là các phần mềm hỗ trợ các giao thức này (ví dụ: forti client), tml mày có thể ngồi ở nhà, quán cà phê v.v. mà vẫn có thể truy cập được vào các tài nguyên bên trọng mạng nội bộ của công ty mày

IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn, và cái IPS firewall cũng chỉ là 1 cái tool (phần mềm/hệ thống phần mềm) cụ thể trong cái hệ thống IPS mà BKAV đã triển khai, nói thẳng ra nó là cái bốt bảo vệ trước cửa công ty, tml nào muốn vào công ty cũng phải đi qua nó để nó kiểm soát, kể cả tml mày có sử dụng giao thức VPN để truy cập thì vẫn cứ phải qua thằng firewall này thôi.

đọc đến đây thì tml mày thấy cái câu số 1 mày viết ra nó có đúng không.

Tao chỉnh lại theo ý của mày
1 - thằng chun gì đó phát hiện lỗi SQL injection của BKAV
2 - thằng đó nó tìm cách vượt qua tưởng lửa (cái mà mày gọi là BKAV IPS firewall) bằng cách dò ra VPN server, cấu hình và thông tin xác thực của VPN để truy cập vào mạng nội bộ của BKAV
3 - sau khi tml đấy truy cập được vào mạng nội bộ của BKAV, thằng đấy làm một số trò con bò như chúng ta đã thấy

Xong, mày có thể bê nguyên cái đám đấy để đi tán gái hoặc chém gió trong lúc nhậu

P/s: Mày còn nhầm lẫn nghiêm trọng giữa VPN server và file server, thôi cái này mày tự tìm hiểu. nhân tiện trả lời cái thắc mắc của tml mày rồi nhé
Mày hiểu một một mà đếu hiểu hai… Thế CÁI QUẢN LÝ VPN đó là cái Lồn què gì? Mài muốn config thì phải làm gì? Đó chính là chỗ thg Chunxong nó hack. Như mài vào router ý. Pải đăng nhập<= Nơi nó hack.
+ Mà chính thg hacker nó gọi là server còn mày lại bảo nó sai…
+ Mày lên xem lại về cách đọc hiểu: file trên server( cái thg chunxong nó pub) = cái tool( như mài nói) = cái quản lý VPN của bkav = Cái chạy trên server VPN
+ Còn lý thuyết suông thì trên wiki đầy, google ko mất phí…
 
tụi Tàu cài bọ tinh vi hơn, chứ làm vậy thì lộ liễu quá, mà nói vậy chả khác nào BKAV sử dụng hệ thống mua ngoài mà không kiểm tra lại an ninh, hoặc kiểm tra mà lại để lọt? Tao nghĩ cái này chắc anh Quảng tự viết nên không ai kiểm lại, hoặc cho thằng tập sự nào đó viết rồi xong quên luôn, chứ tao không tin trình độ kỹ sư BKAV tệ tới mức này. Không thì quá bi kịch cho năng lực của kỹ sư VN.
Cứ nhìn các vụ Khải Silk, Asanzo, VSmart... thì cũng phải đặt ra nghi vấn đó thôi. Dù cho nhập hay tự viết mà dính vậy thì cũng đều khó hiểu nhể.
 
Lề: đéo phải dân IT, nhưng tao chơi game rất hay thích dùng mod/hack, lúc mua hàng hay nghe mấy thằng bán lải nhải cụm từ "server side, khó lắm, lên giá thôi bạn" xD Server side là cái quần què gì thế?
 
Hiện đại, hại điện. Thằng kia nói cũng có ý đúng. VPN Access Server mà nó chỉ bằng con router thì cùng lắm toang con router. Đkm đây nó dùng luôn CPU, OS để hack vào LAN. Đkm CPU càng mạnh, hack càng nhanh.
 
Cứ nhìn các vụ Khải Silk, Asanzo, VSmart... thì cũng phải đặt ra nghi vấn đó thôi. Dù cho nhập hay tự viết mà dính vậy thì cũng đều khó hiểu nhể.
Cái vô lý này có thể giải thích cho có lý. Hãy xem kĩ video của thg chunxong, và có câu hỏi:
Tại sao tml lúc điền pass lại là
123456a@A’ or 1=1– mà ko pải như bt or 1=1 , pải chăng nó làm mầu?!
=> soi src chỗ trg này sẽ thấy nếu chỉ có or 1=1 sẽ bị báo lỗi vì code check kí tự đặc biệt trước. Nếu ko có sẽ loại luôn. <= Tao nghĩ lúc check lỗi, bê cạp check lỗi này nhưng làm qua loa nên vẫn dính chấu…
 
Cái vô lý này có thể giải thích cho có lý. Hãy xem kĩ video của thg chunxong, và có câu hỏi:
Tại sao tml lúc điền pass lại là
123456a@A’ or 1=1– mà ko pải như bt or 1=1 , pải chăng nó làm mầu?!
=> soi src chỗ trg này sẽ thấy nếu chỉ có or 1=1 sẽ bị báo lỗi vì code check kí tự đặc biệt trước. Nếu ko có sẽ loại luôn. <= Tao nghĩ lúc check lỗi, bê cạp check lỗi này nhưng làm qua loa nên vẫn dính chấu…
Ý tao không phải là cái password kia khó hiểu, mà khó hiểu ở cách làm sản phẩm, test sản phẩm mà không phát hiện ra cái lỗi sơ đẳng như thế. Cái lỗi này nó thể hiện sự cẩu thả về cung cách làm việc, và cả yếu kém về mặt công nghệ.
 
Ý tao không phải là cái password kia khó hiểu, mà khó hiểu ở cách làm sản phẩm, test sản phẩm mà không phát hiện ra cái lỗi sơ đẳng như thế. Cái lỗi này nó thể hiện sự cẩu thả về cung cách làm việc, và cả yếu kém về mặt công nghệ.
Tao ko bảo mày chê password khó hiểu… mà tao nói bọn Bê cạp chắc có check nhưng chỉ check or 1=1. Nếu chỉ check thế sẽ bị báo lỗi ngay vì code nó check nếu ko đủ kí tự đặc biệt và dài quá 6 kí tự nó sẽ fail. Và tml nào check cứ nghĩ là ko có lỗi ịnect ở đây= hacker nó hit dc…
Tức nhiên bọn bê cạp quá cẩu thả khi để có lỗi này..
 
vậy sao lại nói là thứ 4 sẽ tung video mà, vậy mà tung video trước rồi à bác, hay 2 video khác nhau, video trên bài là demo thôi
Mài ko thấy fb nhan nhản ảnh quảng nổ rút phích cắm à?! Bọn nó tắt mẹ server rồi còn hack cái gì nữa mà live chim… Cái video đó nó quay trc khi server bị đóng…
 
Tao Copy trên mạng cho mày cái Code Querry SQL bằng C#, giờ dùng vậy, Querry truyền trước, biến truyền sau, dùng như vậy khỏi lo Inject. Mấy thứ lông gà vỏ tỏi này tao không quan tâm lắm

string sql = "Insert into Salary_Grade (Grade, High_Salary, Low_Salary) "
+ " values (@grade, @highSalary, @lowSalary) ";

SqlCommand cmd = connection.CreateCommand();
cmd.CommandText = sql;

// Tạo một đối tượng Parameter.
SqlParameter gradeParam = new SqlParameter("@grade",SqlDbType.Int);
gradeParam.Value = 3;
cmd.Parameters.Add(gradeParam);

// Thêm tham số @highSalary (Viết ngắn hơn).
SqlParameter highSalaryParam = cmd.Parameters.Add("@highSalary", SqlDbType.Float);
highSalaryParam.Value = 20000;

// Thêm tham số @lowSalary (Viết ngắn hơn nữa).
cmd.Parameters.Add("@lowSalary", SqlDbType.Float ).Value = 10000;

// Thực thi Command (Dùng cho delete, insert, update).
int rowCount = cmd.ExecuteNonQuery();
Tao cũng khoái đồ của MS, cứ parameterize dễ hiểu
thế này dở dơi dở chuột, chả ra cc gì
1629224123478-png.716703

1629222348766-png.716680
 
Tao cũng khoái đồ của MS, cứ parameterize dễ hiểu
thế này dở dơi dở chuột, chả ra cc gì
1629224123478-png.716703

1629222348766-png.716680
mày match thẳng password mà không xử lý trước qua hash à??? Vậy mày lưu trực tiếp password của user trên db luôn??? Cái này là standard practice hay sao, chứ thời tao đi học mà thằng nào lưu pass trong plaintext file là ăn điểm liệt hết.
 
Cứ nhìn các vụ Khải Silk, Asanzo, VSmart... thì cũng phải đặt ra nghi vấn đó thôi. Dù cho nhập hay tự viết mà dính vậy thì cũng đều khó hiểu nhể.
mấy cty đó đâu có chuyên về tech, chưa kể cybersec là ngành càng đi sâu và phức tạp hơn nữa. Mà tao nói thật, mấy cái này tốt nhất là mua/thuê công nghệ về xài. Cha Quảng nói cũng đéo sai, cybersec là chiến trường, thằng nào đánh nhau nhiều thẹo nhiều thằng đó giỏi. Cty thường thuê team IT còn đéo đủ để quản lý hệ thống, tiền tài sức lực đâu mà triển kế hoạch tác chiến, "tập trận" này kia.
 
Mày hiểu một một mà đếu hiểu hai… Thế CÁI QUẢN LÝ VPN đó là cái lồn què gì? Mài muốn config thì phải làm gì? Đó chính là chỗ thg Chunxong nó hack. Như mài vào router ý. Pải đăng nhập<= Nơi nó hack.
+ Mà chính thg hacker nó gọi là server còn mày lại bảo nó sai…
+ Mày lên xem lại về cách đọc hiểu: file trên server( cái thg chunxong nó pub) = cái tool( như mài nói) = cái quản lý VPN của bkav = Cái chạy trên server VPN
+ Còn lý thuyết suông thì trên wiki đầy, google ko mất phí…
Địt mẹ, chán thằng nông dân. Mày đã gõ phím kêu là giải thích, thì ít nhất mày phải gõ đúng.
Thằng hack nó gọi là server, trong khi qua lời tml mày thì nó là VPN >>> VPN cái con cặc gì ở đây.

Cái file trên server kia, thì cái server kia là cái "FILE SERVER" chứ đéo phải là cái "VPN server".

Cái tool quản lý VPN là 1 phần mềm, đéo phải là 1 cái file.

cái quản lý VPN của BKAV >>>> cái này mày định nói cái Lồn gì ở đây, tao đéo hiểu luôn.

cái chạy trên server VPN >>>> nó là cái đéo gì ở đây?

Mấy cái dấu bằng của mày nó đéo bằng nhau. Kiểu như cặc = buồi = chửi = địt mẹ mày.

thằng hacker kia nó "chỉ" lần ra
- địa chỉ (ip, port) của VPN server của BKAV
- cấu hình, user name, password để truy cập VPN vào mạng nội bộ BKAV.
- tài khoản của Quảng nổ trên vala

mấy cái này là dữ liệu, là thông tin chứ đéo phải là file.
- nó đã vào mạng nội bộ thì tất nhiên nó vào đc file server, database, v.v và khoắng tất cả những gì nó có thể khoắng.

Tao giải thích thế mày đã hiểu chưa. Mày cũng đéo khác thằng Quảng nổ, nhỉ, mới chỉ cho mày lỗi sai 1 cái là nhảy dựng con mẹ nó lên luôn
 

Cái thiết bị này của BKAV nó vừa là Firewall, IPS, VPN, Load Balancer... luôn nhá. Thằng chunxong nó vào được giao diện quản lý của cái thiết bị này bằng inject SQL, đồng nghĩa với việc nó có luôn tài khoản VPN và một cơ số các thông tin khác.

Thằng @Nong_dan không hiểu khái niệm VPN server, nhưng nó nói có phần đúng ở chỗ là cái trang quản trị này chỉ nên giới hạn người truy cập, không public lên cả làng như thế. Mở thì chỉ mở phần VPN ra thôi, ví dụ VPN chạy port 10443 thì chỉ public port 10443, port cho quản trị là 8008 thì giới hạn.
Tao đồng ý, vấn đề ở đây là thằng nông dân nó ngoại đạo, chém ẩu nhưng lại chê thằng Xamvn1234, nên tao mới phải thông não cho nó.

Đặc biệt là source code thì đéo ai lại đi lưu ở "VPN"
 

Có thể bạn quan tâm

Top