Странно, что нет такой темы...
От этого может зависить не только безопасность самого портала, но и рядовых пользователей.
Админы fighting.ru латайте активную XSS
http://fighting.ru/index.php?sect=ratings&player=<script>alert(/XSS/);</script>
Причина: недостаточная фильтрация переменной.
Позволяет злоумышленнику внедрить произвольный код путём передачи его в качестве значения нефильтруемой переменной.
Последствия: злоумышленник может получить куки целевого пользователя
Устранение уязвимости:
Включить в скрипт обработку на наличие запретных символов, таких, как: <,>,’,” и многих других.
Безопасность
Re: Безопастность
Как видишь нет...
Вот те пример:
вбей в адресную стороку:
_http://fighting.ru/index.php?sect=ratings&player=%3Cscript%3E%20%20%20%20function%20mycookie()%20{%20%20%20%20document.cookie%20=%20%22Cookie=Value%22;%20%20%20%20alert(document.cookie);%20%20%20%20}%20%20%3C/script%3E%20%20%3CFORM%3E%20%20%20%20%3CINPUT%20TYPE=BUTTON%20OnClick=%22mycookie();%22%20VALUE=%22%CC%CE%C8%20%CA%D3%CA%C8%22%3E%20%20%3C/FORM%3E
Вот те пример:
вбей в адресную стороку:
_http://fighting.ru/index.php?sect=ratings&player=%3Cscript%3E%20%20%20%20function%20mycookie()%20{%20%20%20%20document.cookie%20=%20%22Cookie=Value%22;%20%20%20%20alert(document.cookie);%20%20%20%20}%20%20%3C/script%3E%20%20%3CFORM%3E%20%20%20%20%3CINPUT%20TYPE=BUTTON%20OnClick=%22mycookie();%22%20VALUE=%22%CC%CE%C8%20%CA%D3%CA%C8%22%3E%20%20%3C/FORM%3E
-
BioLogIn
- Запускаю супер
- Сообщения: 21061
- Зарегистрирован: 05 июл 2005, 13:00
- Карточка игрока: BioLogIn
- Канал пользователя: BioLogIn
- Благодарил (а): 1356 раз
- Поблагодарили: 2713 раз
- Контактная информация:
Re: Безопастность
Cannon
спасибо, сегодня разберемся.
спасибо, сегодня разберемся.
Death doesn’t discriminate
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
-
BioLogIn
- Запускаю супер
- Сообщения: 21061
- Зарегистрирован: 05 июл 2005, 13:00
- Карточка игрока: BioLogIn
- Канал пользователя: BioLogIn
- Благодарил (а): 1356 раз
- Поблагодарили: 2713 раз
- Контактная информация:
Re: Безопастность
хм, какие у нас интересные вещи в этом скрипте живут...
ну эту-то дырку я закрыл, подробно остальные штуки буду проверять ночью наверное.
ну эту-то дырку я закрыл, подробно остальные штуки буду проверять ночью наверное.
Death doesn’t discriminate
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
Re: Безопастность
BioLogIn дай свою контактную информацию. (желательно ICQ)
Расскажу как добыл админовские пароли, а так же как этого избежать.
А так же скажу пару слов о вашем хостинге.
Расскажу как добыл админовские пароли, а так же как этого избежать.
А так же скажу пару слов о вашем хостинге.
-
BioLogIn
- Запускаю супер
- Сообщения: 21061
- Зарегистрирован: 05 июл 2005, 13:00
- Карточка игрока: BioLogIn
- Канал пользователя: BioLogIn
- Благодарил (а): 1356 раз
- Поблагодарили: 2713 раз
- Контактная информация:
Re: Безопастность
Cannon
как интересно. может все же хеши, а не пароли? или ты про хостинг, а не про форум? тогда значит "админские"? но в любом случае, пообщаться было бы интересно... в аське я бываю редко, напиши на biologin001 [гав] gmail.com, пжалст. или в google talk постучи...
как интересно. может все же хеши, а не пароли? или ты про хостинг, а не про форум? тогда значит "админские"? но в любом случае, пообщаться было бы интересно... в аське я бываю редко, напиши на biologin001 [гав] gmail.com, пжалст. или в google talk постучи...
Death doesn’t discriminate
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
-
Motaro
- I am number one!
- Сообщения: 859
- Зарегистрирован: 18 янв 2008, 15:20
- Карточка игрока: Motaro
- Поблагодарили: 1 раз
Re: Безопастность
Он имеет ввиду просто дырки в движке форума,которые кулхацкеры юзают
Или дыры в безопасности у самого хостера.Пароли получить в принципе реально
Или дыры в безопасности у самого хостера.Пароли получить в принципе реально
-
BioLogIn
- Запускаю супер
- Сообщения: 21061
- Зарегистрирован: 05 июл 2005, 13:00
- Карточка игрока: BioLogIn
- Канал пользователя: BioLogIn
- Благодарил (а): 1356 раз
- Поблагодарили: 2713 раз
- Контактная информация:
Re: Безопастность
Motaro
гм. Cannon имел в виду дыры в некоторых скриптах, которые мы используем на ф.ру, и он по делу говорит. в форумах наших (ПХПбб3.0.1) сейчас опасных для нас или клиентов эксплойтов не существует, хотя разве что твои таинственные кулхацкеры...
словом, без обид, но Cannon дело пишет, а ты, по-моему, не очень. разве что ты решишь развеять первое впечатление и решишь пояснить, какие именно "пароли" добыть "в принципе реально".
Cannon
письмо получил, сейчас отвечу. большое спасибо за правильный подход.
гм. Cannon имел в виду дыры в некоторых скриптах, которые мы используем на ф.ру, и он по делу говорит. в форумах наших (ПХПбб3.0.1) сейчас опасных для нас или клиентов эксплойтов не существует, хотя разве что твои таинственные кулхацкеры...
словом, без обид, но Cannon дело пишет, а ты, по-моему, не очень. разве что ты решишь развеять первое впечатление и решишь пояснить, какие именно "пароли" добыть "в принципе реально".
Cannon
письмо получил, сейчас отвечу. большое спасибо за правильный подход.
Death doesn’t discriminate
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
Between the sinners and the saints
It takes and it takes and it takes
And history obliterates
In every picture it paints
It paints me and all my mistakes
===========================
Fighting.ru | GuiltyGear.ru
-
Motaro
- I am number one!
- Сообщения: 859
- Зарегистрирован: 18 янв 2008, 15:20
- Карточка игрока: Motaro
- Поблагодарили: 1 раз
Re: Безопастность
да я как то криво очень написал на самом деле
вовсе не то,что написал ,имел ввиду)
все,проехали!
вовсе не то,что написал ,имел ввиду)
все,проехали!
