r0
13.09.2006, 12:23
####################################
###################################
××××× Начало. ×××××
Всё началось с того, что я решил отфильтровать е-mail адреса из БД одного форума.
Пошарив у себя на диске, я убедился, что мой парсер e-mail’ов странным образом ‘делся’ .
Так как писать мне не хотелось, я решил обратиться к поисковику, и в самом деле нашел!
Дальше – больше.
××××× GFS ×××××
Да спасибо за прогу, только вот бы еще добавить туда str_replace на одинарные кавычки ;)
Увидел самописный двиг и форум. Ну что ж.. зайдем в гости. Естественно с благими намерениями. Форум не сильно пестрил количеством тем. Снизу красовалось: «Powered by vBulletin 3.5.3» . Тут в голову поползли самые плохие мысли. Я думал провести XSS в поле “e-mail” но там кол-во символов ограничено 50 штуками) (про то, что предложил Аzazel я еще не знал). Не знаю, что меня дернуло, но я набрал в браузере
http://gsf-team.ru/forum/install/ .
Но никакой «404» не было. «ЭЭЭээээ….» - и тишина. Примерно такое было около минуты в моей голове.
http://gfs-team.ru/forum/install/upgrade_301.php?step=1
Удачно сдампив базу на диск, я двинулся на форум для расшифровки пароля админа и модера. Но, видимо он уж очень замудренный, и я получил только пасс модера.
Внимательно вглядываясь в дамп базы, я увидел довольно известные ники. А один я точно знал, что где-то видел, но не мог вспомнить, где.(Далее я буду называть его “ ¿ “).
××××× In Cup.Su we trust ×××××
Я открыл свой бинокль, набрав в поле поиска в Google “ ¿ “ , помучавшись я наконец нашел, то что искал. Смотрю профиль пользователя, а снизу вижу ссылку на очень интересный ресурс cup.su . Один домен (точнее его стоимость), много чего говорит о проекте. Проект закрытый, стало быть, там куча всего интересного.
А вот и сам пользователь «¿» . (Программист, причем толковый, мой низкий поклон к тебе.) Я вновь отправился на форум, где меня ждал пароль от форума GFS пользователя
«¿» . Я решил испытать счастье. Заполнив все поля, я чуть не упал со стула. Прокатило!
Форум был наполнен множественными интересными вещами, информацией. Я подумал:
« Интересно, сколько народа, находящихся тут, сливают и продают инфу..». Вот это самое обидное, думаю , гнилая часть каждого подобного проекта.
××××× Zloключение. ×××××
Из этой саги можно вынести только одно: используй разные пароли. Если бы я был бы админом такого проекта, я бы от всех требовал пассворд типа “ #bAnU^z “ . Но за всем не уследишь.
На самом деле, эта история – плод моего больного воображения. Всё вышеуказанное не могло осуществиться, и я думаю, ты понимаешь это.
Привет котику Ысе.
####################################
###################################
###################################
××××× Начало. ×××××
Всё началось с того, что я решил отфильтровать е-mail адреса из БД одного форума.
Пошарив у себя на диске, я убедился, что мой парсер e-mail’ов странным образом ‘делся’ .
Так как писать мне не хотелось, я решил обратиться к поисковику, и в самом деле нашел!
Дальше – больше.
××××× GFS ×××××
Да спасибо за прогу, только вот бы еще добавить туда str_replace на одинарные кавычки ;)
Увидел самописный двиг и форум. Ну что ж.. зайдем в гости. Естественно с благими намерениями. Форум не сильно пестрил количеством тем. Снизу красовалось: «Powered by vBulletin 3.5.3» . Тут в голову поползли самые плохие мысли. Я думал провести XSS в поле “e-mail” но там кол-во символов ограничено 50 штуками) (про то, что предложил Аzazel я еще не знал). Не знаю, что меня дернуло, но я набрал в браузере
http://gsf-team.ru/forum/install/ .
Но никакой «404» не было. «ЭЭЭээээ….» - и тишина. Примерно такое было около минуты в моей голове.
http://gfs-team.ru/forum/install/upgrade_301.php?step=1
Удачно сдампив базу на диск, я двинулся на форум для расшифровки пароля админа и модера. Но, видимо он уж очень замудренный, и я получил только пасс модера.
Внимательно вглядываясь в дамп базы, я увидел довольно известные ники. А один я точно знал, что где-то видел, но не мог вспомнить, где.(Далее я буду называть его “ ¿ “).
××××× In Cup.Su we trust ×××××
Я открыл свой бинокль, набрав в поле поиска в Google “ ¿ “ , помучавшись я наконец нашел, то что искал. Смотрю профиль пользователя, а снизу вижу ссылку на очень интересный ресурс cup.su . Один домен (точнее его стоимость), много чего говорит о проекте. Проект закрытый, стало быть, там куча всего интересного.
А вот и сам пользователь «¿» . (Программист, причем толковый, мой низкий поклон к тебе.) Я вновь отправился на форум, где меня ждал пароль от форума GFS пользователя
«¿» . Я решил испытать счастье. Заполнив все поля, я чуть не упал со стула. Прокатило!
Форум был наполнен множественными интересными вещами, информацией. Я подумал:
« Интересно, сколько народа, находящихся тут, сливают и продают инфу..». Вот это самое обидное, думаю , гнилая часть каждого подобного проекта.
××××× Zloключение. ×××××
Из этой саги можно вынести только одно: используй разные пароли. Если бы я был бы админом такого проекта, я бы от всех требовал пассворд типа “ #bAnU^z “ . Но за всем не уследишь.
На самом деле, эта история – плод моего больного воображения. Всё вышеуказанное не могло осуществиться, и я думаю, ты понимаешь это.
Привет котику Ысе.
####################################
###################################