требуется проверить сервис чатов |
15.05.2008, 09:31
|
|
Новичок
Регистрация: 13.05.2008
Сообщений: 5
С нами:
9470901
Репутация:
5
|
|
требуется проверить сервис чатов
Здравствуйте,
протестируйте на уязвимости этот сайт http://chatz.net.ru .
Месяц назад в каталоге htdocs оказался подозрительный файл "system_frame.php" как-то так...с нулевыми правами(т.е его не просмотреть не удалить). через фтп выставил права на чтение зашел из браузера а там шелл remview...меня интересует как он туда попал? есть подозрения что через загрузку аватаров или фото в чатах...  помогите чем сможете)) ссылка на форум присутствует на главной  |
|
|
15.05.2008, 12:55
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
С нами:
10892546
Репутация:
2274
|
|
Логин и пасс?
P.S. Ну елси токо через FTP и получилось права сменить то тебе FTP и сломали или хостинг
===========
ПРи реге в чате можно использовать одну и туже каптчу бесконечно 
===========
Никакой защиты от флуда, одно и тоже сообщение хоть 500 раз в секунду (если комп потянет )
===========
ПРи отправики месаги не проверяет IP и можно использвоать GET метод, например
_http://chatz.net.ru/send.php?tip=all&outxx=&komuonly=&out=Hello&uid=58 6020777e3281bf23d49cb03499&room=main
так в комнату main отправится месага Hello (вот кайф! Купить iframe трафик под 30к за час и на эту ссыль! Ах, какой флуд мощный будет  )
Последний раз редактировалось Ponchik; 15.05.2008 в 13:21..
|
|
|
|
28.01.2009, 23:30
|
|
Новичок
Регистрация: 13.05.2008
Сообщений: 5
С нами:
9470901
Репутация:
5
|
|
Здравствуйте, опять я!
Нужно проверить сервис чатов http://moichat.ru/ .
За 2месяца работы косяков вроде замечено не было. Но все-таки нужно чтобы подтвердили профи в этом деле  движок уже далеко не тот, что был тогда
нужно проверить админку. загрузку картинок. редактор html.
опыты будем проводить тут :
чат: http://moichat.ru/chat.php?room=antibagg
данные для входа в управление чатом:
login/pass: antibagg
также под этим ником и паролем заходим в чат как суперадмин.
Ссылку на форум поставил.
ps. есть у кого прога, которая бы сканировала пхп скрипт на наличие скрытых инклудов, системных комманд, и т.п ?
Последний раз редактировалось stas001; 28.01.2009 в 23:38..
|
|
|
|
30.01.2009, 23:37
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
Вход в чат с браузеров Opera и Firefox запрещен. Не пытайтесь обойти эту защиту - чат не будет работать в этих браузерах.
А сделай, чтобы работал...
В админке:
http://moichat.ru/management/index.php?page=password
Новый пароль:
Повтор нового пароля:
Добавь текущий пароль, если не будет, юзер, стырив куки админа может сменить пасс не зная его.
Последний раз редактировалось mailbrush; 30.01.2009 в 23:45..
|
|
|
|
31.01.2009, 00:18
|
|
Участник форума
Регистрация: 29.03.2005
Сообщений: 138
С нами:
11114426
Репутация:
129
|
|
http://moichat.ru/chat.php?room=antibagg&f[]=chat - раскрытие путей...
chats/antibagg/Array.htm как я понял должно было быть chats/antibagg/chat.htm
|
|
|
|
31.01.2009, 01:24
|
|
Новичок
Регистрация: 13.05.2008
Сообщений: 5
С нами:
9470901
Репутация:
5
|
|
mailbrush, ну про опера и файрфокс это нереально, т.к чат писался именно для IE. там чат наполовину работает на javascript и включить поддержку этих браузеров - писать скрипт с нуля.
а вот по-поводу паролей грамотно сказал. поправил.
[NiGHT]DarkAngel, ладно пускай будет раскрытие путей, хоть и не полное. вобщето сообщение об ошибке выводится скриптовое а не серверное warning() . Поправлю на редирект если файл не найден.
Спасибо за помощь! Надо ещо логи глянуть мож кто чо нашел да молчит
|
|
|
|
31.01.2009, 09:18
|
|
Постоянный
Регистрация: 05.01.2009
Сообщений: 684
С нами:
9130007
Репутация:
485
|
|
Вход в чат с браузеров Opera и Firefox запрещен. Не пытайтесь обойти эту защиту - чат не будет работать в этих браузерах.
изза этого ты потеряеш большую чать своих возможных посетителей,т.к. ие никто почти непользуется
так что думай, быть без юзеров и этим чатом,или переписать,но чтоб смогли заходить все
|
|
|
|
31.01.2009, 17:39
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
http://moichat.ru/report/31-01-2009.htm
Я что-то не видел в чатах твоих 2000 сообщений...
|
|
|
|
31.01.2009, 21:28
|
|
Новичок
Регистрация: 13.05.2008
Сообщений: 5
С нами:
9470901
Репутация:
5
|
|
а не видел, потому что о сайте мало еще кто знает...
он удаляет чаты, которые за неделю не набрали 500мессаг.
Чатам, которым меньше недели и независимо сколько там сообщений он автоматом присваивает 500 чтобы пройти проверку, т.к обновляется раз в день.
только через семь дней после реги чата укажется реальное кол-во сообщений и результат прошел / не прошел.
мда. не мастер я красиво говорить.
половины сам не понял
редирект спец для особо любопытных был подефолту
он почти во всех сис.директориях присутствует чтоб затруднить раскопки почему на яндекс? хз. больше ничего в голову не лезло
Последний раз редактировалось stas001; 31.01.2009 в 21:46..
|
|
|
|
03.02.2009, 12:02
|
|
Новичок
Регистрация: 13.05.2008
Сообщений: 5
С нами:
9470901
Репутация:
5
|
|
ладно, раз никто уже не пишет, можно сворачиваться
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Google открывает сервис рекламы на телевидении Google TV Ads
|
Shawn1x |
Мировые новости. Обсуждения. |
0 |
03.05.2008 19:58 |
|
ВПН сервис от S-tamps. Обеспечиваем безопасность с 2005 года.
|
S-tamps |
VPN, Proxy, Socks - Покупка, продажа |
1 |
27.04.2008 16:18 |
|
Mail.ru запускает сервис хранения файлов
|
green09 |
Мировые новости. Обсуждения. |
17 |
19.03.2008 11:47 |
|
Сервис на Delphi Api весом 1849 байт
|
execom |
С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby |
6 |
14.12.2007 12:04 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [NiGHT]DarkAngel](/avatars/avatar15948.jpg?1090254){kind=avatar}
Комбинированный вид
