Уязвимости
|
|
|
Krik
Четверг, 29.01.2015, 22:31 | Сообщение # 1
Статус: |
|
Отмычка: |
|
Сообщений: |
186 |
Награды: |
3 |
Регистрация: |
17.01.2014 |
|
Я конечно понимаю что никому не нужно этот ломать сайт.Но все таки.Как насчет сделать предупреждение типо"Вы покидаете сайт"- это делается чтобы не смогли своровать куки.Насколько мне известно есть софт который ищет дырки в сайте и пишет их.Так же можно написать на форумы с просьбой поискать дыры знающих людей.
|
|
Четверг, 29.01.2015, 22:31
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
17.01.2014 |
|
|
|
|
|
Last Day
Статус: |
|
Опытный: |
|
Сообщений: |
2881 |
Награды: |
17 |
Регистрация: |
21.08.2012 |
|
Кому это надо?
|
|
Четверг, 29.01.2015, 22:37
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
21.08.2012 |
|
|
|
|
|
Krik
Четверг, 29.01.2015, 22:42 | Сообщение # 3
Статус: |
|
Отмычка: |
|
Сообщений: |
186 |
Награды: |
3 |
Регистрация: |
17.01.2014 |
|
Цитата X_A_M_E_L_E_O_N ( ) Кому это надо? В том то и дело если кому нибудь понадобилась то сразу бы взломали. Сайт держится на честном слове. Прийдет какой нибудь тролль и все!
|
|
Четверг, 29.01.2015, 22:42
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
17.01.2014 |
|
|
|
|
|
Аdmin
Четверг, 29.01.2015, 22:44 | Сообщение # 4
Статус: |
|
Опытный: |
|
Сообщений: |
1538 |
Награды: |
11 |
Регистрация: |
28.03.2011 |
|
Цитата Krik ( ) Прийдет какой нибудь тролль и все! И что будет? Как будто троллей у нас не было.
|
|
Четверг, 29.01.2015, 22:44
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
28.03.2011 |
|
|
|
|
|
Краснов
Четверг, 29.01.2015, 22:59 | Сообщение # 5
КРКЗ
Статус: |
|
Бывалый: |
|
Сообщений: |
969 |
Награды: |
17 |
Регистрация: |
20.11.2012 |
|
Цитата Krik ( ) Так же можно написать на форумы с просьбой поискать дыры знающих людей А давайте найдем людей, знающих в взломе квартиры, сейфа. Пускай взломают и скажут, где у меня уязвимое место Не загоняйтесь, человек которых захочет помочь, сам подскажет.
Сообщение отредактировал Краснов - Четверг, 29.01.2015, 23:02
|
|
Четверг, 29.01.2015, 22:59
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
20.11.2012 |
|
|
|
|
|
Malik
Четверг, 29.01.2015, 23:03 | Сообщение # 6
Проект Смерти Вопреки
Статус: |
|
Отмычка: |
|
Сообщений: |
100 |
Награды: |
5 |
Регистрация: |
05.12.2012 |
|
Цитата Krik ( ) это делается чтобы не смогли своровать куки Мягко говоря, это бред.
Цитата Krik ( ) если кому нибудь понадобилась то сразу бы взломали. Сайт держится на честном слове Откуда такая информация? Поделитесь, пожалуйста.
|
|
Четверг, 29.01.2015, 23:03
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
05.12.2012 |
|
|
|
|
|
Krik
Четверг, 29.01.2015, 23:08 | Сообщение # 7
Статус: |
|
Отмычка: |
|
Сообщений: |
186 |
Награды: |
3 |
Регистрация: |
17.01.2014 |
|
Цитата Malik ( ) Откуда такая информация? Поделитесь, пожалуйста. Известный факт что сайты юкозне блещут защищенностью.А насчет воровства куков это не бред а суровая реальность.И да нужно что то предпринимать чтобы защитить.Ибо ,как я уже говорил, достаточно зайти на сайт троллю который немного разбирает в HTML и PHP и ждите.Он обязательно зальет шелл вам на сервак.
|
|
Четверг, 29.01.2015, 23:08
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
17.01.2014 |
|
|
|
|
|
Malik
Четверг, 29.01.2015, 23:20 | Сообщение # 8
Проект Смерти Вопреки
Статус: |
|
Отмычка: |
|
Сообщений: |
100 |
Награды: |
5 |
Регистрация: |
05.12.2012 |
|
Цитата Krik ( ) Он обязательно зальет шелл вам на сервак Цитата Krik ( ) сайты юкозне блещут защищенностью Я делаю только один вывод – вы не знакомы с системой Юкоз изнутри, а берете «известные факты» из школоблогов.
И, кстати, вы хоть понимаете, что такое куки? Зачем их воровать, если ваши куки и так у вас на компьютере сохраняются, а чужих вы не увидите?))
|
|
Четверг, 29.01.2015, 23:20
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
05.12.2012 |
|
|
|
|
|
Krik
Четверг, 29.01.2015, 23:28 | Сообщение # 9
Статус: |
|
Отмычка: |
|
Сообщений: |
186 |
Награды: |
3 |
Регистрация: |
17.01.2014 |
|
Цитата Malik ( ) Я делаю только один вывод – вы не знакомы с системой Юкоз изнутри, а берете «известные факты» из школоблогов.
И, кстати, вы хоть понимаете, что такое куки? Зачем их воровать, если ваши куки и так у вас на компьютере сохраняются, а чужих вы не увидите?)) Хочешь сказать что сайт неломаемый?А куки воруют чтобы вставить их себе.К примеру для того чтобы войти в аккаунт жертвы.Для защиты на сайтах ставят подтверждение типо "Вы покидаете сайт".И да, я думаю сайт нужно проверить.Ибо после добавления всей отсебятины в шаблон юкоз могло образоваться не мало дыр.
|
|
Четверг, 29.01.2015, 23:28
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
17.01.2014 |
|
|
|
|
|
Malik
Четверг, 29.01.2015, 23:49 | Сообщение # 10
Проект Смерти Вопреки
Статус: |
|
Отмычка: |
|
Сообщений: |
100 |
Награды: |
5 |
Регистрация: |
05.12.2012 |
|
Неломаемых сайтов нет, как известно.
Если администратор не допускает детских ошибок, таких как внешние скрипты, разрешение на ввод кода ХТМЛ пользователям и т.п., то систему Юкоз взломать очень сложно.
Однако, даже наличие у злоумышленника ворованного пароля администратора не позволяет нанести фатальный вред сайту. Я же говорю, вы не знакомы с системой...
|
|
Четверг, 29.01.2015, 23:49
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
05.12.2012 |
|
|
|
|
|
Krik
Пятница, 30.01.2015, 00:01 | Сообщение # 11
Статус: |
|
Отмычка: |
|
Сообщений: |
186 |
Награды: |
3 |
Регистрация: |
17.01.2014 |
|
Цитата Malik ( ) Неломаемых сайтов нет, как известно.
Если администратор не допускает детских ошибок, таких как внешние скрипты, разрешение на ввод кода ХТМЛ пользователям и т.п., то систему Юкоз взломать очень сложно.
Однако, даже наличие у злоумышленника ворованного пароля администратора не позволяет нанести фатальный вред сайту. Я же говорю, вы не знакомы с системой... На сайте нет капчи.Как следствие можно забрутить акк админа и получить доступ к админпанели и залить шелл.
|
|
Пятница, 30.01.2015, 00:01
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
17.01.2014 |
|
|
|
|
|
FanG
Пятница, 30.01.2015, 20:44 | Сообщение # 12
Статус: |
|
Легенда: |
|
Сообщений: |
1226 |
Награды: |
19 |
Регистрация: |
21.05.2010 |
|
Цитата Krik ( ) На сайте нет капчи.Как следствие можно забрутить акк админа и получить доступ к админпанели и залить шелл. ооочень долго будете поотбирать пароль к моему акку
По поводу ПУ, после N попытки неправильного ввода логин-пароль, "тролль" получить капчу.
Цитата Krik ( ) А насчет воровства куков это не бред а суровая реальность.И да нужно что то предпринимать чтобы защитить.Ибо ,как я уже говорил, достаточно зайти на сайт троллю который немного разбирает в HTML и PHP и ждите.Он обязательно зальет шелл вам на сервак. ладно PHP, но хтмл тут при чем
Тот кто может ломануть козу (не глупостью админов), ломает что то посерьезнее, чем сайт с +10к посещаемостью. Тут выгоды 0.
Цитата Krik ( ) Как насчет сделать предупреждение типо"Вы покидаете сайт"- это делается чтобы не смогли своровать куки. а связь? Не берусь утверждать, но при каждом обращении клиента к серверу, клиент отправляет на серв куки (логин-пароль) для подтверждения сессии. И если соединение не надежно (общественный вифи) то их можно спокойно выдернуть (если не https)
|
|
Пятница, 30.01.2015, 20:44
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
21.05.2010 |
|
|
|
|
|
Malik
Пятница, 30.01.2015, 22:01 | Сообщение # 13
Проект Смерти Вопреки
Статус: |
|
Отмычка: |
|
Сообщений: |
100 |
Награды: |
5 |
Регистрация: |
05.12.2012 |
|
Про «Вы покидаете сайт» Krik, дайте источник. Очень хочу посмеяться.
Дело в том, что в куках не хранится пароль. Хранится только привязка сессии к браузеру, а сервер принимает решение, позволить дальнейшее действие или отменить. Как-то так.
Так или иначе, это не тема ликвидации безграмотности... Админы Ап-про далеко не первый день в теме – успокойте свою паранойю.
|
|
Пятница, 30.01.2015, 22:01
|
Статус: |
|
Сообщений: |
666 |
Регистрация: |
05.12.2012 |
|
|
|
|