በሁሉም የዓለም ሀገሮች ማለት ይቻላል በነጻ ተደራሽ የሆኑ የውሂብ ጎታዎች ስለመገኘቱ ብዙ እጽፋለሁ ፣ ግን በሕዝብ ጎራ ውስጥ ስለ ሩሲያ የውሂብ ጎታዎች ምንም ዜና የለም ማለት ይቻላል ። ምንም እንኳን በቅርብ ጊዜ አንድ የኔዘርላንድ ተመራማሪ ከ2000 በሚበልጡ ክፍት የመረጃ ቋቶች ውስጥ ለማግኘት ስለፈራው “የክሬምሊን እጅ”።
በሩሲያ ውስጥ ሁሉም ነገር ጥሩ ነው የሚል የተሳሳተ ግንዛቤ ሊኖር ይችላል እና ትላልቅ የሩሲያ የመስመር ላይ ፕሮጀክቶች ባለቤቶች የተጠቃሚ ውሂብን ለማከማቸት ኃላፊነት የተሞላበት አካሄድ ይወስዳሉ. ይህን ምሳሌ ተጠቅሜ ይህን ተረት ለማፍረስ እቸኩላለሁ።
የሩሲያ የመስመር ላይ ህክምና አገልግሎት DOC+ የክሊክሃውስ ዳታቤዝ በይፋ የሚገኙ የመዳረሻ ምዝግብ ማስታወሻዎችን ለቆ መውጣት ችሏል። እንደ አለመታደል ሆኖ የምዝግብ ማስታወሻዎቹ በጣም ዝርዝር ስለሚመስሉ የሰራተኞች፣ አጋሮች እና የአገልግሎቱ ደንበኞች ግላዊ መረጃ ሊወጣ ይችል ነበር።
መጀመሪያ ነገሮች መጀመሪያ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
ከእኔ ጋር እንደ ቴሌግራም ቻናል ባለቤትማንነቱ እንዳይገለጽ የፈለገ የቻናል አንባቢ አነጋግሮ በትክክል የሚከተለውን ዘግቧል፡-
የኩባንያው ዶc+ የሆነ ክፍት የ ClickHouse አገልጋይ በይነመረብ ላይ ተገኝቷል። የአገልጋዩ አይፒ አድራሻ docplus.ru ጎራ ከተዋቀረበት የአይፒ አድራሻ ጋር ይዛመዳል።
ከ Wikipedia DOC+ (ኒው ሜዲካል ኤልኤልሲ) በቴሌሜዲኬሽን መስክ አገልግሎት የሚሰጥ፣ ዶክተርን በቤት ውስጥ በመጥራት፣ በማከማቸት እና በማቀነባበር የሩስያ የህክምና ኩባንያ ነው። የግል የሕክምና መረጃ. ኩባንያው ከ Yandex ኢንቨስትመንቶችን ተቀብሏል.
በተሰበሰበው መረጃ በመመዘን, የ ClickHouse ዳታቤዝ በእርግጥ በነጻ የሚገኝ ነበር, እና ማንኛውም ሰው, የአይፒ አድራሻውን የሚያውቅ, ከእሱ ውሂብ ማግኘት ይችላል. ይህ ውሂብ የሚገመተው የአገልግሎት መዳረሻ ምዝግብ ማስታወሻዎች ሆኖ ተገኝቷል።
ከላይ ካለው ሥዕል እንደሚታየው ከ www.docplus.ru ድር አገልጋይ እና ከ ClickHouse አገልጋይ (ፖርት 9000) በተጨማሪ የሞንጎዲቢ ዳታቤዝ በተመሳሳይ የአይፒ አድራሻ ላይ በሰፊው ተከፍቶ ነው (በዚህም ፣ በግልጽ ፣ ምንም ነገር የለም) አስደሳች)።
እኔ እስከማውቀው ድረስ፣ Shodan.io የፍለጋ ሞተር የ ClickHouse አገልጋይን ለማግኘት ጥቅም ላይ ውሏል (ስለ ለየብቻ ጽፌያለሁ) ከልዩ ስክሪፕት ጋር በማያያዝ የተገኘውን የመረጃ ቋት የማረጋገጫ እጦት ፈትሾ ሁሉንም ሠንጠረዦቹን ዘርዝሯል። በዚያን ጊዜ 474 የሚሆኑት ይመስሉ ነበር።
ከሰነዱ እንደምንረዳው በነባሪ የ ClickHouse አገልጋይ በፖርት 8123 HTTPን እንደሚያዳምጥ እናውቃለን። ስለዚህ ፣ በሠንጠረዦቹ ውስጥ ምን እንደያዘ ለማየት ፣ እንደዚህ ያለ የ SQL ጥያቄን ማሄድ በቂ ነው-
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]ጥያቄውን በማስፈጸም ምክንያት፣ ምናልባት ሊመለስ የሚችለው ከዚህ በታች ባለው ቅጽበታዊ ገጽ እይታ ላይ የተመለከተው ነው።
ከቅጽበታዊ ገጽ እይታው በመስኩ ውስጥ ያለው መረጃ ግልጽ ነው ራስጌዎች ስለ ተጠቃሚው መገኛ ቦታ (ኬክሮስ እና ኬንትሮስ) ፣ የአይፒ አድራሻው ፣ ከአገልግሎቱ ጋር የተገናኘበትን መሳሪያ መረጃ ፣ የስርዓተ ክወና ስሪት ፣ ወዘተ መረጃ ይዟል።
አንድ ሰው የSQL ጥያቄን በትንሹ እንዲቀይር ካጋጠመው፣ ለምሳሌ እንደዚህ፡-
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
ከዚያ ከሰራተኞች የግል መረጃ ጋር ተመሳሳይ የሆነ ነገር መመለስ ይቻላል-ሙሉ ስም ፣ የልደት ቀን ፣ ጾታ ፣ የግብር መለያ ቁጥር ፣ የምዝገባ እና ትክክለኛ የመኖሪያ አድራሻዎች ፣ የስልክ ቁጥሮች ፣ የስራ መደቦች ፣ የኢሜል አድራሻዎች እና ሌሎችም ።
ይህ ሁሉ ከላይ ካለው የቅጽበታዊ ገጽ እይታ መረጃ ከ1C፡ ኢንተርፕራይዝ 8.3 ካለው የሰው ኃይል መረጃ ጋር በጣም ተመሳሳይ ነው።
መለኪያውን በቅርበት መመልከት API_USER_TOKEN ይህ በተጠቃሚው ምትክ የግል ውሂቡን ማግኘትን ጨምሮ የተለያዩ እርምጃዎችን ማከናወን የምትችልበት “የሚሰራ” ማስመሰያ ነው ብለህ ታስብ ይሆናል። ግን በእርግጥ ይህን ማለት አልችልም።
በአሁኑ ጊዜ የ ClickHouse አገልጋይ በተመሳሳይ አይፒ አድራሻ በነጻ የሚገኝ መሆኑን የሚያሳይ መረጃ የለም።
ምንጭ: hab.com