Нашёл XSPIDER-ом следующие уязвимости на сайте.Скажи как получить полный доступ к файлам?Хочу сайт стырить со всеми файлами включая Php и MYSQL.

Вот найденные мной уязвимости!

Уязвимость
Доступ к директориям на просмотр
Описание

Директории доступные для просмотра:
/icons/
/upl/im<b>
Решение

Закрыть доступ к директориям для просмотра, если он действительно не нужен.


Уязвимость
Http прокси
Описание

Возможность использования этого сервиса посторонними пользователями в качестве http прокси сервера.

Проверка анонимности выявила следущее:
анонимность IP адреса не соблюдается
анонимность браузера не соблюдается
анонимность Cookie не соблюдается
анонимность Refer не соблюдается
анонимность дополнительного параметра не соблюдается
Решение

Закрыть доступ к этому сервису для неавторизованных пользователей


Доступна информация
Список cookie
Описание

Список cookie установленных сервером:

1. PHPSESSID=5f123eead52dd8103fdcd147732f32c0; path=/


Доступна информация
Доступен метод TRACE
Описание

С помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг.
Решение

Запретить выполнение этого метода.
Ссылки

Cert (VU#867593): http://www.kb.cert.org/vuls/id/867593
http://www.cgisecurity.com/articles/xss-faq.shtml
http://www.extremetech.com/article2/0,3973,841144,00.asp


Доступна информация
Ссылки с параметрами
Описание

Список ссылок найденных на веб-сервере, которые используют какие-либо параметры:

/inc/forumas/viewtopic.php?t=1219

/inc/forumas/viewforum.php?f=17

/indexmain.php?144/

/inc/toppage.php?

/inc/topimg.php?


Доступна информация
Список почтовых адресов
Описание

Список почтовых адресов найденных на веб-сервере:

webmaster@vzlom_saita.com


Доступна информация
Доступ к директориям
Описание

Доступные директории:
/forumas/


Доступна информация
Директории с авторизацией (Basic)
Описание

Директории требующие авторизацию (Basic) :
/usage/


Доступна информация
Недоступные директории
Описание

Cуществующие, но недоступные директории:
/cgi-bin/
/error/

Кто сказал что это уизвимости(прошу прощении за громатику - не работают кнопкие кое-какие)?

А что это?Вообщем мне надо сайт утащить.Скажите как это можно сделать?

А что это?Вообщем мне надо сайт утащить. Скажите как это можно сделать?
Бери и выкачивай WinHTTrack` ом (http://www.httrack.com) или Телепортом

-=lebed=-, жжош ;)

Прога подсказывает в каком направлении можно работать, но она не говорит ведь "шелл тут".
Когда я был маленький, я подключался по диалапу по test test и начинал сканить серв провайдера и очень радовался, когда выдавалась "возможна дос атака". Эх... какие были времена :)

Я так и не понял.Можно как-нибудь из всего перечисленного сайт стырить?Если жа то как это сделать?

Сори за оффтоп, но это мой любимый автор. Его наиболее замечательные топики -
https://forum.antichat.ru/showthread.php?t=13622 - Дима чинит компьютер
https://forum.antichat.ru/showthread.php?t=13643 - Дима определяет свой http
https://forum.antichat.ru/showthread.php?t=13297 - Дима ищет компилятор
https://forum.antichat.ru/showthread.php?t=9498 халявный айпи :)

Сори за оффтоп, но это мой любимый автор. Его наиболее замечательные топики -
http://forum.antichat.ru/showthread.php?t=13622 - Дима чинит компьютер
http://forum.antichat.ru/showthread.php?t=13643 - Дима определяет свой http
http://forum.antichat.ru/showthread.php?t=13297 - Дима ищет компилятор
http://forum.antichat.ru/showthread.php?t=9498 халявный айпи :)
Почитал темы :) Я падстулом :D
Тоже сорри за оффтоп, наверно эту тему потом тоже будет надо куда нибудь в раздел юмор.. :D

Парень, думаю тебе поможет вот что. Навык вора 150% как минимум, крадучесть тоже, ну и конечно взлом. Воопщем убивай когтей смерти, ищи гекк и качайсо. Ароййо тибя низабудет.

А ещё можешь купить самую полную версию паука (200 с чем то к рублей вроде). И повтори сканирование. Результат будет повнушительнее.

это новый конкурент ВЫЙу (ой, фенегзу) и дракуле?? о нет!

Хочеш напишу сайт ? в цене сойдёмся а чужое тырить не хорошо =)

Хочу сайт стырить со всеми файлами

Вот найденные мной уязвимости!

Уязвимость
Директории доступные для просмотра:
/icons/
Ну вот смотри смайлики щитай уже у тя в кармане.
Остальное...Жми на кнопку \"взломать сайт\" в XSpider\'e. Но такая кнопка есть тока в FULL версии.
Если у тебя Демо, то пока качай смайлы, а там по обстоятельствам.

-=lebed=-

хаха жжоте

28.07.2006, 16:56
BlackDog К чему флеймить и поднимать старые темы?

Ваше сообщение тоже является своеобразным флеймом :)
Так-что... Вобщем - автору - минус дал бы, если бы смог, а вообще XSpider не используется для нахождений уязвимостей в сайтах, если кто не знал...
Тему можно закрыть, я так думаю.

1. Доступ к директориям на просмотр

Смотри, может что интересное будет. Возможно сайт уже взломан и где-то там будет шелл.

2. Возможность использования этого сервиса посторонними пользователями в качестве http прокси сервера.

Можно использовать уязвимый скрипт на сервере как прокси, например:
http://site/bag_script.php?http://mail.ru

3. Доступен метод TRACE

Если на сайте есть ХСС уязвимость, они будут работать. А они обычно всегда есть.

4. Список ссылок найденных на веб-сервере, которые используют какие-либо параметры:

Форум. Проверь версию, возможен взлом.

5. Список почтовых адресов

Пошли трояна.

6. Директории с авторизацией (Basic)

Попробуй подобрать пароль.