Есть ли уязвимость на сайте ?

Обсуждение в разделе «Проверка на уязвимости», начал(-а) Дилетант, 6.12.2011.

  1. M_script

    M_script Members of Antichat

    Регистрация:
    4.11.2004
    Сообщения:
    2 628
    Одобрения:
    1 234
    Репутация:
    1 555
    Как ты на практике это собрался применить? Ни один браузер не пропустит угловые скобки и кавычки в адресе, а на странице они отображаются в том виде, в котором передаются, в urlencode.
     
    _________________________
  2. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    Я не знаю, чайник я в этом деле. Профессионалы наверное смогут.

    А что за пример вы привели? Я не понял.

    Скажите, чтобы не было подмены и вообще, чтобы реферер не передавался лучше использовать
    Code:
    w.document.write('<meta http-equiv="refresh" content="0;url='+url+'">');
    как на этом форуме?
     
  3. M_script

    M_script Members of Antichat

    Регистрация:
    4.11.2004
    Сообщения:
    2 628
    Одобрения:
    1 234
    Репутация:
    1 555
    Пример того, что проверяется только наличие "www.tryda.ru" в строке, но не проверяется, является ли эта подстрока доменом.
    На этом форуме не для всех браузеров работает скрытие реферера.

    Редирект можно так сделать:
    PHP:
    $url = (empty($_GET['url']) || is_array($_GET['url'])) ? 'index.php' urlencode($_GET['url']);
    header("Location: http://www.tryda.ru/$url");
    Зачем скрывать реферер?
     
    _________________________
    #23 M_script, 10.01.2012
    В последний раз редактировалось: 12.01.2012
  4. Axeee

    Axeee Elder - Старейшина

    Регистрация:
    26.11.2008
    Сообщения:
    398
    Одобрения:
    17
    Репутация:
    0
    думаю незачем палить лишние данные

     
  5. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    А что за лишние данные?

    Сейчас нормально? Не палится?
     
  6. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    А мне нужен редирект на другой сайт, а не внутри моего сайта.
    Я не знаю, зачем скрывают? Мне не нужно скрывать.
    Началось всё с того, что AKYLA пишет, что используя мой скрипт follow.php, который делает редирект,
    Поэтому я и спрашивал, как мне защититься от этого. Т.е. какой код мне прописать в скрипте перенаправления.
     
    #26 Дилетант, 11.01.2012
    В последний раз редактировалось: 13.01.2012
  7. OxoTnik

    OxoTnik На мышей

    Регистрация:
    10.06.2011
    Сообщения:
    1 095
    Одобрения:
    507
    Репутация:
    173
    Чувак где же ты??? это я тебя похекал без обид, случайно вышло)
    Как увидишь отпишись в личку, а лучше выброси его нахер, официальный сайт тоже сегодня похекал, меняй движок, весь в дырках!
     
  8. bugagasenki

    bugagasenki Member

    Регистрация:
    10.12.2011
    Сообщения:
    244
    Одобрения:
    14
    Репутация:
    -1
    пишет заявление наверное уже :D
     
  9. OxoTnik

    OxoTnik На мышей

    Регистрация:
    10.06.2011
    Сообщения:
    1 095
    Одобрения:
    507
    Репутация:
    173
    нет отписался парочкой добрых фраз)
     
  10. t3cHn0iD

    t3cHn0iD Banned

    Регистрация:
    6.04.2009
    Сообщения:
    323
    Одобрения:
    63
    Репутация:
    66
    Судя по первым страницам топика ты искал уязвимости акунетиксом, а не руками - это не тру + умиляет твоя фраза аля "похекал", ЧСВ поднялось что ли, умник ? За случайно бьют отчаянно ;)
     
    Это одобряет 1 пользователь.
  11. _21root21_

    _21root21_ New Member

    Регистрация:
    11.01.2012
    Сообщения:
    8
    Одобрения:
    0
    Репутация:
    0
    прикольно
    http://www.tryda.ru/index.php?id=1'
    вылазиет
    Oxothik, ti balyeshsa, prokaznik?
     
  12. OxoTnik

    OxoTnik На мышей

    Регистрация:
    10.06.2011
    Сообщения:
    1 095
    Одобрения:
    507
    Репутация:
    173
    t3cHn0iD чувак, просто иди на ***! и будешь понтить в школе! Запомни лось, все гинеальное просто!



    Парень жжёт))))
     
  13. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    Охотник, благодарю за то, что "похекал". Только сообщи, как это случайно вышло у тебя. Не таи. Что, куда вводил и совал.

    Тебе надо быть спокойнее. Почему такая бурная реакция? Правильно ведь заметили - ты начал с автомата. А в ваших кругах ценится "handmade", т.е. что сделано ручками.
    И русские поговорки ты разве не знаешь? Похоже нет. А вот мы с t3cHn0iD лет 30 назад читали про них.


    Как это "лоханули"? Парень хакнул сайт, зашел в админку. Только вот не колется, как сумел это сделать.
     
    #33 Дилетант, 20.01.2012
    В последний раз редактировалось: 20.01.2012
    Это одобряет 1 пользователь.
  14. Lilo

    Lilo Banned

    Регистрация:
    10.03.2009
    Сообщения:
    1 054
    Одобрения:
    780
    Репутация:
    313
    его лоханули по полной) вот и нервничает
     
    Это одобряет 1 пользователь.
  15. OxoTnik

    OxoTnik На мышей

    Регистрация:
    10.06.2011
    Сообщения:
    1 095
    Одобрения:
    507
    Репутация:
    173
    уязвимости у тебя я писал в теме постами выше,
    но так как XSS у тебя не активная я просто скрыв ссылку под видом своего сайта сунул его себе в профиль, ты по ссылке прошёл, мне пришли твой куки, так и произошёл весь взлом, кстати в куках был зашифрованный пароль твой и логин, так что авторизоваться было не сложно.
     
    Это одобряет 1 пользователь.
  16. Dr.Strangelove

    Регистрация:
    1.12.2008
    Сообщения:
    112
    Одобрения:
    57
    Репутация:
    -6
    Умиляют твои детско-садовские маразматичные фразочки о то что тру, а что не тру! Если тебя поимели - то тебя поимели и это факт. И только это имеет значение в безопасности! И не важно где, как, в какую дырку и каким девайсом и способом тебя отымели. Важно лишь то что тебя отымели. А ты потом с отъюзанным своим богатством кричи что тру а что не тру :D

    И кстати о ТРУ. Хакеры на то и хакеры, что во все времена пытались всю рутинную работу перекладывать на комьютер и максимально автоматизировать свою работу, иначе зачем нужна ЭВМ, если все делать руками это тру ?!
     
    #36 Dr.Strangelove, 22.01.2012
    В последний раз редактировалось: 22.01.2012
    Это одобряет 1 пользователь.
  17. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    Благодарю, OxoTnik. Я так и думал. Помню эту ситуацию. Еще раз благодарю за урок.
     
  18. OxoTnik

    OxoTnik На мышей

    Регистрация:
    10.06.2011
    Сообщения:
    1 095
    Одобрения:
    507
    Репутация:
    173


    скоро приду проверять домашнюю работу.
     
  19. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    Океюшки. Твой Аккаунт уже ждет тебя.
     
    #39 Дилетант, 23.01.2012
    В последний раз редактировалось: 31.01.2012
  20. Дилетант

    Дилетант New Member

    Регистрация:
    5.12.2011
    Сообщения:
    17
    Одобрения:
    1
    Репутация:
    0
    OxoTnik, что выяснилось ли новенького?
    Я вот подправил в одном месте, не знаю то-ли?

    Посмотри, остались ли где дыры?
     
Загрузка...