Strict Standards: Resource ID#18 used as offset, casting to integer (18) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#24 used as offset, casting to integer (24) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#26 used as offset, casting to integer (26) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#27 used as offset, casting to integer (27) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Взлом учетных записей [4]

Качественный Европейский хостинг	Форум для чайников
	Чат на форуме Помощь Поиск Пользователи

Здравствуйте Гость ( Вход · Регистрация · Правила форума )

Забыли пароль?

Взлом учетных записей

ТвойWeb » ExBB » ExBB :: Архив » ExBB - лучший форум на файлах

Страниц (7): « 1 2 3 [4] 5 6 7 »

Описание: Взлом учетных записей

Поиск в теме | Версия для печати

cosc	Отправлено: 06 Декабря, 2006 - 18:04:47
Full Member Покинул форум Сообщений всего: 188 Дата рег-ции: Апр. 2006 Карма 2	Цитата: ты чего? Это же и клеили в июле, я помню как Лично Анне об этой пакости доложил! Ты чего? Да, но проблема была решена, если я правильно понял тем, что теперь не закачать такие файлы под видом аватар, а возможность же запустить таким образом уже закачанные аватары (или другие скрипты с расширением .jpg) осталась. А в моем случае расширение у шелов .jpg.php. То есть если как-то закачать под видом рисунка php скрипт (присвоиа ему расширение .jpg), то можно его запустить выше описанным способом, или другим похожим.

goa	Отправлено: 07 Декабря, 2006 - 07:34:34
Newbie Покинул форум Сообщений всего: 27 Дата рег-ции: Дек. 2006 Карма 0	TvoyWeb а проблема не может быть в том, что форум установлен на платформе IIS?

cosc	Отправлено: 07 Декабря, 2006 - 08:13:14
Full Member Покинул форум Сообщений всего: 188 Дата рег-ции: Апр. 2006 Карма 2	В форуме оказывается нету проверки пути, откуда отправляются данные. А это значит, что можно отправить форму со своего компьютера!

TvoyWeb	Отправлено: 07 Декабря, 2006 - 08:31:17
Главный здесь Покинул форум Сообщений всего: 7072 Дата рег-ции: Нояб. 2003 Откуда: Tashkent Uz Карма 52	cosc пишет: В форуме оказывается нету проверки пути, откуда отправляются данные. А это не проверишь! То есть проверить откуда пришла форма можно только через Refferer, но многи юзеры просто отключают его и на сервер этот заголовок не приходит. Более того этот заголовок подделать очень просто и поэтому надежды на него нет абсолютно! goa пишет: а проблема не может быть в том, что форум установлен на платформе IIS? Честно?! Без понятия, во всяком случае сейчас! cosc пишет: Да, но проблема была решена, если я правильно понял тем, что теперь не закачать такие файлы под видом аватар, а возможность же запустить таким образом уже закачанные аватары (или другие скрипты с расширением .jpg) осталась. В том, то и дело, что то что описывается в статье, а именно подстановка неправильного пути, закрыто. А загрузка файлов кроме расширения которое указано в админке, сделано давно и его пока не обойти! Во всяком случае при загрузке. Я вот тут дописываю новую версию и все подобные возможные дырки закрываю. Вобщем думаю через пару недель сменю движок здесь на форуме, потестим и выложу на скачку.

goa	Отправлено: 07 Декабря, 2006 - 08:47:45
Newbie Покинул форум Сообщений всего: 27 Дата рег-ции: Дек. 2006 Карма 0	cosc пишет: В форуме оказывается нету проверки пути, откуда отправляются данные. А это значит, что можно отправить форму со своего компьютера! имеешь в виду, что проверку "правильности" расширений файлов можно отключить у себя? Это возможно?

TvoyWeb	Отправлено: 07 Декабря, 2006 - 08:57:35
Главный здесь Покинул форум Сообщений всего: 7072 Дата рег-ции: Нояб. 2003 Откуда: Tashkent Uz Карма 52	goa Отключить нет. По умолчанию разрешено заливать только zip файлы, но в админке можно добавить разрешенные расширения.

cosc	Отправлено: 07 Декабря, 2006 - 09:01:09
Full Member Покинул форум Сообщений всего: 188 Дата рег-ции: Апр. 2006 Карма 2	TvoyWeb А как форум определяет при загрузке картинок нужно менять им расширение на ext или нет?

TvoyWeb	Отправлено: 07 Декабря, 2006 - 09:05:28
Главный здесь Покинул форум Сообщений всего: 7072 Дата рег-ции: Нояб. 2003 Откуда: Tashkent Uz Карма 52	cosc Есди тип файла изображение и и последние символы в имени файла совпадают с расширениеми файлов, то расширение не меняется. пример: загружаешь файл с именем blabla.gif.php даже если это будет изображение (тип файла) то на конце никак не расширение изображений!

cosc	Отправлено: 07 Декабря, 2006 - 09:09:07
Full Member Покинул форум Сообщений всего: 188 Дата рег-ции: Апр. 2006 Карма 2	То бишь если взять рhp скрипт и поствить ему расширение .jpg, а в конце файла записать jpg, то он будет загружен как рисунок, и расширение у него останется .jpg?

goa	Отправлено: 07 Декабря, 2006 - 09:44:55
Newbie Покинул форум Сообщений всего: 27 Дата рег-ции: Дек. 2006 Карма 0	просвятите ламера, что такое exploits?\n\n(Добавление) мне тут сказали, что через эту загадочную штуку ломают

Поиск в теме | Версия для печати

Страниц (7): « 1 2 3 [4] 5 6 7 »

Сейчас эту тему просматривают: 15 (гостей: 15, зарегистрированных: 0, скрытых: 0)

« ExBB - лучший форум на файлах »

Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.

Форум на AlfaSpace.NET

[Script Execution time: 0.0796] [ Gzipped ]

Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33