Интересует оценка сайта (как профи так и простых пользователей)

Discussion in 'Песочница' started by max32, 8 Jun 2005.

  1. max32

    max32 New Member

    Joined:
    8 Jun 2005
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    #1 max32, 8 Jun 2005
    Last edited: 8 Jun 2005
  2. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    непристижный и неудобный форум
     
  3. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Ссылки:
     
    _________________________
  4. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,374
    Likes Received:
    898
    Reputations:
    20
    Календарь на сайте вообще лишняя вешь... Подбор цветов очень многообразный...
     
  5. k00p3r

    k00p3r Banned

    Joined:
    31 May 2005
    Messages:
    430
    Likes Received:
    8
    Reputations:
    2
    неплохой сайт для фирмы....
     
  6. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    to censored! на сколько я понимаю эта к сожелению пассивная бага и ктомуже всего ничего полезного нестырить. Кстати. Статью по активным XSS никто нехочет написать?
     
  7. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Ну что значит пассивная? То что чтобы она сработала надо на нее направить? Если есть Форум или мыло админа - с этим проблем не будет. Стырить можно Форумные куки.
     
    _________________________
  8. (-=util=-)

    (-=util=-) Banned

    Joined:
    2 Dec 2004
    Messages:
    337
    Likes Received:
    8
    Reputations:
    2
    именно. надо заманить юзверя на Xss. Забей. Это я так просто к слову и мысли в слух написал.....
     
  9. max32

    max32 New Member

    Joined:
    8 Jun 2005
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    k00p3r - спасибо - так и задумывалось!

    Егорыч+++ Календарь веб-реализация программы "Знаменательные даты", которая является визитной карточкой фирмы... всё равно - спасибо большое!

    censored!,(-=util=-) а можно поподробней про баги ? :confused:
     
  10. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Подробнее: всегда надо расчитывать что скрипту может передастся не то что ты планируешь, а совершенно другое. Соответсвенно - ты знаешь что передается скрипту календаря, отсюда пропускай только то что надо, а на остальное ставь фильтр.
    По ссылке:
    Что может быть:
    На форуме в теме или тебе лично по Форумной личке придет письмо:
    "С вашего сайта незаконно используют ваши программы! Тут ->" и дальше ссылка на какую-нить страницу. Ты туда зайдешь посмотреть и попадешь на какую-нить липовую страницу. А на этой странице будет в фрейме та ссылка что вверху, но вместо <script>alert(/testing_by_censored!/)</script> будет прописан путь до снифера, который твои куки будет записывать в файл. Так как куки и от Форума запишутся (форм с сайтом на одном домене), то можно зайти зарегистрироваться под пользователем и потом заменить куки на твои. Или же поставить хэш пароля (который также для твоего форума хранится в куках) на расшифровку и удачно расшифровать его.
    Тогда можно заходить под Админом и делать с Форумом что хочешь.
    Можно пойти и еще дальше (я правда не очень хорошо знаю этот Форум). Можно под Админом разрешить загружать файлы с расширением php (pl, asp) закачать туда веб-шел и попробовать запустить. Если все пройдет нормально - то уже можно будет на твоем сайте редактировать/перемещать/удалять и т.п.

    Ну, вообщем, это набросок что может быть при уданом внедрении. Но все зависит и от тебя. даже если и есть XSS не факт что попадут в Админку. Если попадут в Админку - не факт что закачают вебшел. Если закачают вебшел - не факт что он запустится. Ну и т.п.
     
    _________________________
  11. max32

    max32 New Member

    Joined:
    8 Jun 2005
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    censored! Спасибо огромное!!! Буду осторожен! Посоветуй пожалуйста какие-нибудь статьи, книги или сайты (любые источники) на тему защиты от взломов... если не тут, то хотябы мылом... За ранее благораден!
     
  12. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Я думаю ты и сам легко найдеш, воспользовавшись поисковиком. А так:
    http://antichat.ru
    http://void.ru

    Просто посмотри видео, почитай статьи. Ведь как говорят: лучшим админом считается хакер.
     
    _________________________
  13. k00p3r

    k00p3r Banned

    Joined:
    31 May 2005
    Messages:
    430
    Likes Received:
    8
    Reputations:
    2
    скора постараюсь в свой раздел статей по этой теме накидать.
     
  14. max32

    max32 New Member

    Joined:
    8 Jun 2005
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Большое спасибо всем!
     
  15. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    цвет прикольный. сайт мне нравится... внизу правда желтые буквы не подходят Upd: уже все ок... календарик чтото лишний...

    P.s. Меню тоже прикольное...
     
Loading...