Творческий подход при взломе сайта

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

27.08.2015, 12:33

equal

Guest

Сообщений: n/a

Провел на форуме:
13906

Репутация: 2

Хабр сегодня сделал мой день:

Получил следующее письмо

Для тех, кто не помнит PHP наизусть: assert() исполняет строку, поданную на вход.

А дальше всё бы началось с функции "phpinfo" (выводит информацию о текущей конфигурации PHP: настройках компиляции PHP, о расширениях, о версии, информация о сервере и среде выполнения (если PHP компилировался как модуль), окружении PHP, версии ОС, о путях, об основных и локальных значениях настроек конфигурации, о HTTP заголовках и лицензии PHP):

Код:

Code:
169.57.0.216 - - [27/Aug/2015:02:35:25 +0300] "GET /reestr/reestr-id128032.php?roskomnadzor=phpinfo(); HTTP/1.0" 404 21507 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Alexa Toolbar)"

А уж чем бы закончилось (учитывая то, что вы сами дали взломщику возможность хозяйничать у вас посредством методов GET, POST или COOKIE, не смущая его экранированием символов)...

Что огорчило: взломщик не сумел в html-верстку, и побоявшись, что его код изувечит браузер/почтовый клиент, начал городить лишние сущности "*В