Best Web (Scam) එකේ ඇත්ත කතාව

Blacq

Well-known member
  • May 1, 2013
    459
    481
    63
    Guess
    මේ දවස් වල Best Web එකේ awards දෙනව. ඉතින් මට හිතුන ඒ ගැන පොඩ්ඩක් කතා කරන්න. මං ඕකෙ ඉතිහාසය දන්නෑ. ඕකෙ ඉන්න එවුන් ගැන දන්නෑ. ඒ නිසා දන්න කෙනෙක් ඉන්නව නම් පොඩ්ඩක් දැනුවත් කරන්න. මං එක දෙයක් දන්නව. ඕකෙ ඉන්නෙ රට හරක් ටිකක්. Best Web කියන්නෙ බොරුවක්.

    මුලින්ම අපි උන්ගෙ criteria බැලුවොත් ලස්සනයි. ලස්සනට පිලිවෙලට legit competition එකක වගේ විස්තර දාල තියෙනව. බැලු බැල්මට හැමෝම හිතන්නෙ මේක හොඳ තරඟයක් කියල.

    ඒත් මෙතන ඇත්ත කතාව වෙනස්. Criteria වල කොහෙවත් කියල නෑ මෙතන network scan එකක් යනව කියල. Competition එකට website එකක් දැම්මම මෙයාල network scan එකක් කරනව. I mean, හොඳම website එක තෝරන competition එකක network scan එකක් කරනව.

    Best Web එකේ තේ හදන කෙනාද මන්දා scan එක කරන්නෙ. උන් දන්නෑ network scan එකක් කලාම ඒ network එකේ තියෙන ports scan කරන්නෙ කියල.

    එතකොට normal shared hosting එකක host කරල තියෙන website එකක් හෝ cPanel වගේ platform එකක host කරල තියෙන website එකක් මුන් scan කරද්දි ඒකෙ තියෙන IMAP, POP3, SMTP, FTP වගේ open ports ඔක්කොම scan වෙනව. ඔතන ලොකු අවුලක් තියෙනව. ඊට කලින් මං උන්ගෙ මේ පාර තරඟෙට use කරන gadget එක ගැන කියල ඉන්නම්.

    මේ පාර කියල මං කිව්වෙ මට දැනගන්න හම්බුන විදිහට මුන් එක එක පාරවල් වල එක එක රෙද්දවල් use කරල තියෙන්නෙ scan කරන්න. කොහොම හරි මේ පාර මුන් use කරන්නෙ Nessus කියල tool එකක්. Pentestersලා අතර ගොඩක් ප්‍රසිද්ධ tool එකක් මේක. මේකෙ තියෙනව basic network scan එකක්. මේ යක්කු ඕක ගහල එන vulnerabilities ටික තමයි competitorsලට යවන්නෙ.

    නීතිය මේකයි. මේකෙ කියන vulnerabilities නියම කරන දවසට හදල දාන්න ඕනෙ. නැත්තන් out. සරලයි.

    මුන් ඔහොම කියපු vulnerabilities ටිකක් මට හම්බුනා. මං නිකන් බලද්දි දැක්ක අමුතු vulnerabilities ටිකක්. එතනින් 90%ක් website එකකටවත් ඒක හදපු developersලටවත් අදාල නෑ.

    උදාහරණයක් විදිහට SWEET32 attack එකක් තිබ්බ. ඒක ගමුකො. මොකද්ද මේ කියන්නෙ? Medium strength SSL cipher එකක් use කලොත් මේ SWEET32 attack එකට vulnerable වෙන්න පුලුවන්. ඇත්තටම ඒක ලොකු අවුලක්. මං ඒ අදාල website එක scan කලා. ඒ උනාට මට ඒ අවුල පෙන්නුවෙ නෑ. මං tools දෙක තුනකින්ම scan කලත් ඒ අදාල website එකේ එහෙම අවුලක් පෙන්නුවෙ නෑ. ඊට පස්සෙ මං Nessus tool එකෙන් scan කලා. එතකොට මට ඒ අවුල පෙන්නුව. හොඳම දේ තමයි ඒ අවුල පෙන්නුවෙ 21 කියන port එකේ. ඒ කියන්නෙ FTP port එකේ. ඊටත් වඩා හොඳම දේ මුන් website එකේ අයිතිකාරයට issues list එක දාල document එක යවද්දි මොන port එකේද අවුල තියෙන්නෙ කියන එක දාන්නෙ නෑ. මෙතන තනි වංචාවක් යන්නෙ.

    පලවෙනි දේ හොඳම website එක මුන් තෝරන්නෙ. නැතුව හොඳම hosting providerවත් හොඳම server එකවත් නෙමෙයි. ඒ ගොන්නු දැනගන්න ඕනෙ website scanner එකකයි network scanner එකකයි වෙනස. FTP server එකේ SSL වල තියෙන අවුල මට තේරෙන්නෑ කොහොමද මේ වගේ තරඟෙකට බලපාන්නෙ කියල.

    ඊලඟ දේ මේ වගේ ගොන් තරඟෙකින් දිනන්න පට්ට ලේසියි. Cloud දානව. සරලයි. ඒක මෙහෙමනෙ. මුන් scan කරන්නෙ network එක. එතකොට මෙතන ප්‍රශ්නෙ අර ports ඒ අදාල network එකේම open තියෙන එක. Cloud දාල 80 (HTTP), 443 (HTTPS) ports විතරක් open කලා නම් Best Web එවුන්ට කියන්න දෙයක් නෑ.

    මං personally උන්ගෙ site එක scan කලා උන්ගෙම tool එකෙන්. උන්ගෙ පට්ට vulnerabilities ගොඩක් තියෙනව. හොඳම දේ ඒක නෙමෙයි. මුන් අනිත් අයගෙ issues තියෙනව කියන්නෙ port 80, 443 නෙමෙයි. ඒත් මුන්ගෙ ලොකු අවුලක් තියෙනව මුන්ගෙ තියෙන්නෙ port 443. මං screenshots attach කරන්නම්. එහෙම කට්ටියක් security expertsලා දම්මල scan කලා කිය කිය බයිලාවක් නටනව. අපේ රටේ එවුනුත් ඒ වගේ ගොන් හරක්ගෙන් award ගන්න දඟලනව.

    මේ වගේ බොරු මඟුල් ආයෙ නොකරන්න මුන්ට මොකක් හරි කරන්න ඕනෙ.View attachment 130835View attachment 130836
    හරියටම හරි මචන්
    පට්ට අසාධාරණයක් වෙන්නේ ඕකට ඉදිරිපත් වෙන්න හිතන් ඉන්නවනම්
    සමහර කස්ටම් develop කරපුවා ආපහු හදන්න වෙලාවක් ඇත්තෙත් නෑ
    අනික උන්ගේ අවුල් වෙන ඒවා එන්නේ සමහර වෙලාවට third party libraries වලින්, ඒවා වෙනස් කරන්න කොහොමටවත් බෑ
    ඒවා කියන්න උන්ට කතා කරාම එකේ ඉන්න ගොන් හැත්ත ඒ මුකුත්ම දන්නෙත් නෑ, උන් කියන්නේ "ඒකට අපිට කරන්න දෙයක් නෑ කියලා"

    ඕක තනිකරම බොරු වැඩක් ඔකුන්ගේ
     

    miyuru4u

    Well-known member
  • Jan 18, 2007
    29,960
    5,902
    113
    In the eyes of my girl
    ඔකේ යටින් තවත් ගේමක් යනවා
    වෙනම මේල්ස් එනවා අපිට ඔකේ එක එක කෙස් වලට
    3ර්ඩ් පාටි කට්ටියගෙන් ජෝන් වෙන්න වෙන්න කියල
    උන්ගේ මෙම්බර්ෂිප් ගන්න අරක්දා මේකද කියල
    තනිකර ගැරිල්ලක් යන්නේ මම නම් හිතන්නේ