Баг чата Бородина: chat.php.spb.ru (предположение)
 

Вообщем народ :) на Бородинском чате я не смог отписаться-проблемы там у него какие-то вот и к вам пришёл :) а баг такой...

Настройки администрирования падают все на 0,тоесть любой гость будет иметь возможность делать в чате тоже самое,что и владелец - привелегии одинаковые :) это делатеся пока не понял как но точно не через www и похоже,что не через deamon!

Если у кого есть какие мысли - постим!
з.ы. ещё можно ставить права всем подрят через админку от имени владельца чата!

Я в шоке

я тоже в шоке, ты эту охинею САМ придумал? может я просто не догоняю...

может ты имеешь ввиду сессию админа увести?

Где ты дрянь такую откапал сам видать придумал тема на ачате обсуждалась и не раз кроме XSS багов нормальных небыло и не будет в скорем времени я так думаю

на почитай для примера
http://forum.antichat.ru/thread14097.html
http://forum.antichat.ru/thread6577-...%E8%ED%E0.html

И вообще если хотел запостить уязвимость взял бы и запостил а если хотел задать вопрос то воспользуйся поиском так как это уже не раз обсуждалось

гы, какой то бред=)))

Я конечно понимаю,что вы тут все умные.
Но XSS тут нипричём! Эта дыра была закрыта! А если можно угнать админскую сессию то значит баг есть. И если то что я написал то как вы обЪясните то,что владелец чата был заблочен через админку своим же ником а в _dima.php он так и прописан как владелец! Такого чисто физически не может быть,владелец даже сам себя не может заблочить!

А вы говорите!

ТЫ продемонстрировать багу можеш физически ??? я назову чат и ты продемонстрируеш её если нет, то и баги нет.... ну там можно только сесию перехватить и всё....
А главного админа не заблочить чтоб он сам себя разбанить не мог...

Если я не прав поправьте меня

Вот в этом-то и шляпа,что firstadmin себя не может сам не заблочить не удалить а через эту дыру это делают,повторить не смогу т.к. сам не знаю как закрыть это дыру! Потому и отписался чтоб кто-то подумал и посмарел как это можно сделать! Но факт в том что это скорей всего программа а не хаккер :( только вот как эту программу вынуть из сервака я не знаю. Вообще люди давайте подумаем вместе...

Вообщем я вижу никто ничего не делает!
Мануал я читал :) но молчание в теме более 5 дней это врятли что-то здравое!
Вообщем я тут краему глаза учитал про 1 вещи типа "в дистрибутиве чата бета 11 есть баг а именно в том,что можно не входя в чат,через форму ввести какой-то урл и редактировать файло и даже сливать его,не входя в чат" я конечно не знаю правда это или лож но думаю проверить есть смысл :) буду признателен если что-то у вас получится :)

Из вышеуказаного тобой бреда я нихера не понял и меня задолбало ужи писать в этой теме...
Ответь мне на эти вопросы :

1.Ты как использовать эту багу знаеш ?
2.Ты случайно не предлогаеш нам сказать тебе как использовать эту багу ?

P.s
Опять напишеш флуд или дрянь я обижусь и забью на эту тему будеш с другими мля общаться кому делать нечего... По тому что из всех твойх 4 пстов в этой теме нема ниодного нормального обьяснения ни про багу ни про что-то ещё....

Зарание перед всеми извеняюсь за грубость и за мат....