Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Проверьте пожалуйста сайт nado.ru |
19.03.2009, 00:56
|
|
Новичок
Регистрация: 18.03.2009
Сообщений: 4
Провел на форуме:
15491
Репутация:
0
|
|
Проверьте пожалуйста сайт nado.ru
Добрый вечер!
На сайте nado.ru установлена моя cmska , примерно 2 недели назад заметил, что изменяют все пароли в таблице с пользователями.
Проверьете пожалуйста сайт!
Последний раз редактировалось BlackSun; 21.03.2009 в 23:12..
|
|
|
23.03.2009, 12:03
|
|
Новичок
Регистрация: 18.03.2009
Сообщений: 4
Провел на форуме:
15491
Репутация:
0
|
|
Ребят Нашли что-нибудь?
|
|
|
|
24.03.2009, 21:41
|
|
Познающий
Регистрация: 21.09.2008
Сообщений: 42
Провел на форуме:
127017
Репутация:
61
|
|
Особо не рылся канеша, но беглым взглядом сразу обнаружилось:
1. В настройках профиля в полях не фильтруются одинарные кавычки, что приводит к XSS
2. В куках сидят логин пользователя и захешированный md5 пароль. Соответственно брутить можно очень быстро.
|
|
|
|
25.03.2009, 16:01
|
|
Новичок
Регистрация: 18.03.2009
Сообщений: 4
Провел на форуме:
15491
Репутация:
0
|
|
Спасибо! Несовсем понял по 1 пункту? Посмотрите ещё.
|
|
|
|
25.03.2009, 22:04
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
А теперь все строем пошли читать правила и прекращять тупо офтопить без указания каких-либо конкретных уязвимостей. 1 топик и удалено 11 сообщений ..
|
|
|
|
30.03.2009, 00:36
|
|
Новичок
Регистрация: 29.03.2009
Сообщений: 8
Провел на форуме:
56687
Репутация:
0
|
|
_http://nado.ru/index.php?do=recovery
Если вставить кавычку в поле , мускул выдаёт ошибку .
Такая же хрень в полях логин,пароль для входа в личный кабинет.
Вроде возможна sql inj post запросами.
Профи, поправьте меня, если я не прав.
|
|
|
|
30.03.2009, 03:02
|
|
Участник форума
Регистрация: 07.11.2008
Сообщений: 124
Провел на форуме:
1483379
Репутация:
386
|
|
Немного непонятно...
Почему-то кавычки в запросах остаются, только если их ставить на концах слов, тоесть
не нарушит синтаксис запроса, а вот
нарушает. Вполне возможно, что я не нашёл как это обойти, а кто-то нашёл)) Такая скуля есть и в авторизации на главной - в обеих полях. И в /admin/ в поле логина. И в кукисах в полях логина и хеша. |
|
|
|
01.04.2009, 11:30
|
|
Новичок
Регистрация: 18.03.2009
Сообщений: 4
Провел на форуме:
15491
Репутация:
0
|
|
Большое Спасибо! Замена кавычки оказалась лишней. Посмотрите ещё
sql инъекции везде, не безопасная админка, в частности редактирование темплайтов- можно любой файл редактировать или создать новый
Каким образом ты сможешь редактировать любые файлы если у них права не 0777?
Странно видеть такое сообщение от программиста
Последний раз редактировалось fiper; 01.04.2009 в 11:46..
|
|
|
|
01.04.2009, 23:25
|
|
Banned
Регистрация: 19.06.2006
Сообщений: 1,239
Провел на форуме:
1469161
Репутация:
142
|
|
Мб он хотел подчеркнуть на некорректность кода,когда уже есть готовые решения ).А кавычки удаляются mysql_real_escape_string() имхо).Лично меня спасало)
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Обзор бесплатных Cms
|
em00s7 |
PHP, PERL, MySQL, JavaScript |
16 |
03.07.2009 13:13 |
|
Раскрутка сайта
|
heks |
Статьи |
15 |
15.02.2009 19:51 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для brain[pillow]](/avatars/avatar67568.jpg?1197731){kind=avatar}
![Отправить сообщение для brain[pillow] с помощью ICQ](fusion/misc/im_icq.gif)
Линейный вид
