ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Проверка на уязвимости
Перезагрузить страницу Новый форумный движок
   
 
Страница 2 из 3 < 1 2 3 >
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 18.04.2008, 22:37
Дюша
Banned
Регистрация: 09.12.2007
Сообщений: 301
Провел на форуме:
1796349

Репутация: 174
По умолчанию
Doom123
поможет тока ограничение веса на файло
 

  #12  
Старый 18.04.2008, 22:48
Doom123
Постоянный
Регистрация: 11.11.2006
Сообщений: 834
Провел на форуме:
3941248

Репутация: 668


Отправить сообщение для Doom123 с помощью ICQ
По умолчанию
у него стоит 40000 байт я залил картинку 1000*1000 весом 7000 байт
 

  #13  
Старый 18.04.2008, 22:58
d_x
Reservists Of Antichat - Level 6
Регистрация: 25.03.2008
Сообщений: 670
Провел на форуме:
4137635

Репутация: 2407


По умолчанию
Пофиксил, как в теме https://forum.antichat.ru/thread20317.html указано, через загрузку изображения и проверке размера напрямую, теперь не прокатит такое
 

  #14  
Старый 18.04.2008, 23:15
Doom123
Постоянный
Регистрация: 11.11.2006
Сообщений: 834
Провел на форуме:
3941248

Репутация: 668


Отправить сообщение для Doom123 с помощью ICQ
По умолчанию
[img*]http://onerror=alert()[url*=http://onerror=alert()]http://onerror=alert()[/url*][/img*]

пустая мессага а может и хсс
 

  #15  
Старый 18.04.2008, 23:19
d_x
Reservists Of Antichat - Level 6
Регистрация: 25.03.2008
Сообщений: 670
Провел на форуме:
4137635

Репутация: 2407


По умолчанию
Это уже зависит от хоста, иногда встречаю такое, барахлят pcre регулярки почему-то... У меня на локалхосте нормально такое отображается например. Вроде даже тут на ачате тема про это встречалась.
 

Cross-site Scripting Overview
  #16  
Старый 19.04.2008, 03:25
Flame of Soul
Участник форума
Регистрация: 25.05.2007
Сообщений: 290
Провел на форуме:
1740746

Репутация: 435
Отправить сообщение для Flame of Soul с помощью MSN
По умолчанию Cross-site Scripting Overview
Cross-site Scripting Overview ---> RFC-2152 UTF-7

Личные данные -> Дополнительная информация:

+ADwA-/textarea+AD4A-+ADwA-script+AD4A-alert(document.cookie)+ADsAPA-/script+AD4A-


Пример срабатывания:
<dxboard.ru>
username=test;
pass=8b9f3f128a5c4b26e93a307bb9af770;
PHPSESSID=ve59bljfsff0jcop3t51m2pp4bg9m1q1

Тестовый форум -> Оффтоп

+ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-


Пример срабатывания:

<dxboard.ru>
username=test;
pass=8b9f3f128a5c4b26e93a307bb9af770;
PHPSESSID=ve59bljfsff0jcop3t51m2pp4bg9m1q1;
tread=%3B7%3A1208553717%3B8%3A1208557570;
treadids=%3B7%3A44%3B8%3A45

Подробнее прочитать можно тут:

http://forum.antichat.ru/threadnav66154-2-10.html

PS: Существенную опасность представляет второй случай, особенно в том плане если будет выпушенна англоязычная версия форума, так что с этим лучше заранее разобратся.

----------------------------------------------------------------------

Вспомогательная информация (мож кому пригодится)

Список файлов с параметрами:
Код HTML:
/findmessages.php?id=1&page=1&sort=1    /logs.php?dat=1 
/users.php?page=1&order=1&pr=1&srch=    /check.php?act=3 
/findmessages.php?id=1&page=1           /addrate.php?id=1
/adminsmiles.php?dat=5&id=              /addrate.php?id=1
/viewtopic.php?id=3&last=1              /users.php?srch=1
/adminforums.php?dat=5&id=              /writepm.php?id=1 
/admintopic.php?&opt=3&id=              /profile.php?id=1
/deleteallmes.php?folder=               /deleteimg.php?id= 
/viewpercents.php?n=1&id=               /viewforum.php?id=1
/delcontact.php?act=1&id=               /viewgroup.php?id=1
/bookedit.php?act=1&id=3                /logs.php?dat=2&id= 
/viewtopic.php?id=1&fp=1                /fullanswer.php?id=
/addrate.php?id=1&plus=1                /viewtopic.php?id=3
/profile.php?id=1&view=1                /deletefile.php?id=
/subedit.php?act=4&id=3                 /deletetopic.php?id=
/viewtopic.php?id=3&l=1            !!!  /ipblock.php?dat=3&id=
/deletemessage.php?id=                  /mesopts.php?act=1&id=
/deletepercent.php?id=                  /viewpercents.php?id=1 
/findmessages.php?id=1                  /deleteprofile.php?id=
ipblock.php - чесно говоря смущает
Последний раз редактировалось Flame of Soul; 19.04.2008 в 04:05..
 

  #17  
Старый 19.04.2008, 03:25
d_x
Reservists Of Antichat - Level 6
Регистрация: 25.03.2008
Сообщений: 670
Провел на форуме:
4137635

Репутация: 2407


По умолчанию
Doom123, я смотрю смотрю и фиксю, уже довольно много косяков поправил, но есть ещё немного
Последний раз редактировалось d_x; 19.04.2008 в 03:29..
 

  #18  
Старый 19.04.2008, 03:50
Doom123
Постоянный
Регистрация: 11.11.2006
Сообщений: 834
Провел на форуме:
3941248

Репутация: 668


Отправить сообщение для Doom123 с помощью ICQ
По умолчанию
у меня лично идей где найти багу просто нет=\ так что выклыдывай исходники будем химичить))


кстате смена пароля не работает... постоянно пишет что не верен старый пароль=\
Последний раз редактировалось Doom123; 19.04.2008 в 03:53..
 

  #19  
Старый 19.04.2008, 03:52
d_x
Reservists Of Antichat - Level 6
Регистрация: 25.03.2008
Сообщений: 670
Провел на форуме:
4137635

Репутация: 2407


По умолчанию
Думаю, что завтра вечером выложу. Исходники правда страшные очень,без комментариев совсем)

PS. Баг с паролем пофиксил
Последний раз редактировалось d_x; 19.04.2008 в 04:19..
 

  #20  
Старый 19.04.2008, 20:25
d_x
Reservists Of Antichat - Level 6
Регистрация: 25.03.2008
Сообщений: 670
Провел на форуме:
4137635

Репутация: 2407


По умолчанию
Исходники выложил в открытый доступ: https://forum.antichat.ru/thread67760.html
Ну а тестирование продолжается
 
 
Страница 2 из 3 < 1 2 3 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ