Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Чаты (https://forum.antichat.xyz/forumdisplay.php?f=10)
-   -   !!! Взлом нового чата (https://forum.antichat.xyz/showthread.php?t=29436)

fallcom 19.12.2006 20:14
!!! Взлом нового чата
 
Всем привет. Тут недавно поставил в локалку чат - Chant, но есть сомнения по безопасностьи. Искал в багтреках
но нечего не нашел. Решил потестить сам. Нашел дырку в rss блоге.
вот код:

PHP код:
$users file("./data/users.inc.php");
foreach($users as $val){
list($user$pass) = explode("|"$val2); 
if($_GET['privateid'] === $user) { 
Там при получении сообшений провирается зарегин узер или нет, но пароль нетребуеться.
Для того чтобы читать чужие приваты надо всего лиш знать ник узера.
Пример rss?privateid=[ник]. У себя я ету дырку закрыл но может есть еще?
Спрашивал на webscript-е но безрезултатно может сдесь кто знает.
Вот ссылка chant.prophp.org

fallcom 24.12.2006 14:33
Что эта штука такая не пробиваемая? даже пасивной Xss нету ?
Может кто пробЪёт :)

Антошка2003 24.12.2006 14:38
установи чат на какой нибудь хост, не хочеться качать и париться с ним.

fallcom 03.01.2007 02:37
Вот ссылка 194.219.67.5/chat. если работать не будед - http://chant.prophp.org/Demo.html
Всех с 2007-м.


Время: 21:20