Баг чата Бородина: chat.php.spb.ru (предположение) |
22.02.2006, 19:50
|
|
Новичок
Регистрация: 22.02.2006
Сообщений: 14
С нами:
10638660
Репутация:
0
|
|
Баг чата Бородина: chat.php.spb.ru (предположение)
Вообщем народ  на Бородинском чате я не смог отписаться-проблемы там у него какие-то вот и к вам пришёл а баг такой...
Настройки администрирования падают все на 0,тоесть любой гость будет иметь возможность делать в чате тоже самое,что и владелец - привелегии одинаковые это делатеся пока не понял как но точно не через www и похоже,что не через deamon!
Если у кого есть какие мысли - постим!
з.ы. ещё можно ставить права всем подрят через админку от имени владельца чата!
Я в шоке |
|
|
22.02.2006, 19:59
|
|
Постоянный
Регистрация: 07.08.2005
Сообщений: 386
С нами:
10925666
Репутация:
454
|
|
Сообщение от VIA
Вообщем народ на Бородинском чате я не смог отписаться-проблемы там у него какие-то вот и к вам пришёл а баг такой...
Настройки администрирования падают все на 0,тоесть любой гость будет иметь возможность делать в чате тоже самое,что и владелец - привелегии одинаковые это делатеся пока не понял как но точно не через www и похоже,что не через deamon!
Если у кого есть какие мысли - постим!
з.ы. ещё можно ставить права всем подрят через админку от имени владельца чата!
Я в шоке я тоже в шоке, ты эту охинею САМ придумал? может я просто не догоняю...
|
|
|
|
23.02.2006, 14:09
|
|
Постоянный
Регистрация: 03.04.2005
Сообщений: 610
С нами:
11107106
Репутация:
165
|
|
может ты имеешь ввиду сессию админа увести?
|
|
|
|
23.02.2006, 14:17
|
|
OpenVPN.CC
Регистрация: 15.07.2005
Сообщений: 1,599
С нами:
10958786
Репутация:
1034
|
|
Сообщение от VIA
Вообщем народ на Бородинском чате я не смог отписаться-проблемы там у него какие-то вот и к вам пришёл а баг такой...
Настройки администрирования падают все на 0,тоесть любой гость будет иметь возможность делать в чате тоже самое,что и владелец - привелегии одинаковые это делатеся пока не понял как но точно не через www и похоже,что не через deamon!
Если у кого есть какие мысли - постим!
з.ы. ещё можно ставить права всем подрят через админку от имени владельца чата!
Я в шоке Где ты дрянь такую откапал сам видать придумал тема на ачате обсуждалась и не раз кроме XSS багов нормальных небыло и не будет в скорем времени я так думаю
на почитай для примера
http://forum.antichat.ru/thread14097.html
http://forum.antichat.ru/thread6577-...%E8%ED%E0.html
И вообще если хотел запостить уязвимость взял бы и запостил а если хотел задать вопрос то воспользуйся поиском так как это уже не раз обсуждалось
Последний раз редактировалось Nova; 23.02.2006 в 14:21..
|
|
|
|
23.02.2006, 14:22
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
С нами:
10692266
Репутация:
3486
|
|
гы, какой то бред=)))
|
|
|
|
23.02.2006, 14:37
|
|
Новичок
Регистрация: 22.02.2006
Сообщений: 14
С нами:
10638660
Репутация:
0
|
|
Я конечно понимаю,что вы тут все умные.
Но XSS тут нипричём! Эта дыра была закрыта! А если можно угнать админскую сессию то значит баг есть. И если то что я написал то как вы обЪясните то,что владелец чата был заблочен через админку своим же ником а в _dima.php он так и прописан как владелец! Такого чисто физически не может быть,владелец даже сам себя не может заблочить!
А вы говорите!
|
|
|
|
23.02.2006, 14:40
|
|
OpenVPN.CC
Регистрация: 15.07.2005
Сообщений: 1,599
С нами:
10958786
Репутация:
1034
|
|
Сообщение от VIA
Я конечно понимаю,что вы тут все умные.
Но XSS тут нипричём! Эта дыра была закрыта! А если можно угнать админскую сессию то значит баг есть. И если то что я написал то как вы обЪясните то,что владелец чата был заблочен через админку своим же ником а в _dima.php он так и прописан как владелец! Такого чисто физически не может быть,владелец даже сам себя не может заблочить!
А вы говорите!
ТЫ продемонстрировать багу можеш физически ??? я назову чат и ты продемонстрируеш её если нет, то и баги нет.... ну там можно только сесию перехватить и всё....
А главного админа не заблочить чтоб он сам себя разбанить не мог...
Если я не прав поправьте меня
|
|
|
|
23.02.2006, 16:31
|
|
Новичок
Регистрация: 22.02.2006
Сообщений: 14
С нами:
10638660
Репутация:
0
|
|
Вот в этом-то и шляпа,что firstadmin себя не может сам не заблочить не удалить а через эту дыру это делают,повторить не смогу т.к. сам не знаю как закрыть это дыру! Потому и отписался чтоб кто-то подумал и посмарел как это можно сделать! Но факт в том что это скорей всего программа а не хаккер  только вот как эту программу вынуть из сервака я не знаю. Вообще люди давайте подумаем вместе... |
|
|
|
26.02.2006, 15:29
|
|
Новичок
Регистрация: 22.02.2006
Сообщений: 14
С нами:
10638660
Репутация:
0
|
|
Вообщем я вижу никто ничего не делает!
Мануал я читал но молчание в теме более 5 дней это врятли что-то здравое!
Вообщем я тут краему глаза учитал про 1 вещи типа "в дистрибутиве чата бета 11 есть баг а именно в том,что можно не входя в чат,через форму ввести какой-то урл и редактировать файло и даже сливать его,не входя в чат" я конечно не знаю правда это или лож но думаю проверить есть смысл буду признателен если что-то у вас получится |
|
|
|
26.02.2006, 16:20
|
|
OpenVPN.CC
Регистрация: 15.07.2005
Сообщений: 1,599
С нами:
10958786
Репутация:
1034
|
|
Из вышеуказаного тобой бреда я нихера не понял и меня задолбало ужи писать в этой теме...
Ответь мне на эти вопросы :
1.Ты как использовать эту багу знаеш ?
2.Ты случайно не предлогаеш нам сказать тебе как использовать эту багу ?
P.s
Опять напишеш флуд или дрянь я обижусь и забью на эту тему будеш с другими мля общаться кому делать нечего... По тому что из всех твойх 4 пстов в этой теме нема ниодного нормального обьяснения ни про багу ни про что-то ещё....
Зарание перед всеми извеняюсь за грубость и за мат....
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
