- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
да нет там ни каких каких дыр, по крайней мере известных.
качают с варезников, потом кричат, что дле в дырах.
Почему на оф. сайтах (дле и модуля "Переходы") народ не кричит про уязвимости?
mfl добавил 03.08.2011 в 06:16
кто из тех, что отписались здесь об уязвимости, скачал скрипт с официального сайта?
здесь приводили часть кода, так таких строк вообще нет в скрипте.
Поставил, теперь запросы идут з ГУГЛА такого типа: downloads3Cscript20src=http:toyotapprugogogojs3E3C2Fscr - то-есть он уже скриптом не считаеться?
Да, все правильно. Теперь это не скрипт и он не загружается на компьютер посетителя.
RoMaN444Ik добавил 03.08.2011 в 08:34
да нет там ни каких каких дыр, по крайней мере известных.
качают с варезников, потом кричат, что дле в дырах.
Почему на оф. сайтах (дле и модуля "Переходы") народ не кричит про уязвимости?
mfl добавил 03.08.2011 в 06:16
кто из тех, что отписались здесь об уязвимости, скачал скрипт с официального сайта?
здесь приводили часть кода, так таких строк вообще нет в скрипте.
Код приводил я и этого кода действительно нет в скрипте, т.к. эти строки я написал дабы решить сие проблему. Читайте сообщения внимательнее!
RoMaN444Ik добавил 03.08.2011 в 08:35
Вот именно что з последней версией XSS и пришло ко всем в гости, мне их решения не помогло, всеравно приходили ссылки з скриптом в адресе, вот данный метод в этом топике мне помог вроде.... Но всеравно приходят ссылки, тока без действующого скрипта....
Все верно. Так и должно быть. Если нужно чтобы отображался только запрос без "остатков скрипта". напишите мне в ЛС. Скажу что поменять.
RoMaN444Ik,
if (strlen($row['request']) > $confms['block_link']) $search = substr ($row['request'], 0, $confms['block_link'])."..."; else $search = $row['request'];
$sw = $engine[$host_referer]['2']; # основа поиска запроса
данных строк нет в скрипте.
да нет там ни каких каких дыр, по крайней мере известных.
качают с варезников, потом кричат, что дле в дырах.
Почему на оф. сайтах (дле и модуля "Переходы") народ не кричит про уязвимости?
mfl добавил 03.08.2011 в 06:16
кто из тех, что отписались здесь об уязвимости, скачал скрипт с официального сайта?
здесь приводили часть кода, так таких строк вообще нет в скрипте.
Демки ломают установленные с оригинального архива. Дырок в DLE на все 100 лет хватит, при чем только паблик дырок, я уже не говорю про приватные дырки.
RoMaN444Ik,
данных строк нет в скрипте.
Блин а откуда я их по-твоему взял? Ты сначала посмотри, сравни, а потом пиши!
Блокировщик подозрительных переходов
Открыть файл engine/modules/referer.php:
Найти:
if (checkurl($http_referer) != "false") {ВЫШЕ добавить:
$check_xss = preg_replace("/[<][\/a-zA-Z]+(.*?)[>]/", "", urldecode(rawurldecode($http_referer)));if ( $check_xss != urldecode(rawurldecode($http_referer)) ) {
$http_referer = "";
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$request_uri}\">сюда</a>." ); }
Автор: ko1yan
источник: dle-solutions.ru
назовите хоть одну актуальную уязвимость.
О недостаточной фильтрации уже очень давно известно.
А вобще хочу сказать, что все же дырки мы сами себе лепим, устанавливая левые модули и левые хаки. К тому же, некоторые еще и деньги платят за модуль с дыркой. ДЛЕ и так вся в дырах, а тут еще и в модах с хаками.
Говорите дыры, ну так приведите хоть одну на актуальной версии? Лмао.
С вопросом опередили :)
Говорите дыры, ну так приведите хоть одну на актуальной версии? Лмао.
С вопросом опередили :)
А ключи от сейфа где деньги лежат вам тоже предъявить?
Никто дыры палить не будет, о паблик дырках вы узнаете в скором времени, там и посмотрите на дыры. Могу сказать только одно, один знакомый знает очень маленькую, но очень опасную дыру во всех версиях DLE, где она находится он не признается, это приватная дырка и стоит она очень больших денег.
Я смотрю вы так уверены в том что в DLE нет дырок, а потом как всегда прибежите на серч с воплями
Не так ли?
Я когда DLE начал юзать, первую купленную мной офф версию, DLE 8.2, мне писали что она то без дырок, купил я ее по тому что, ломать начали один из сайтов, в итоге в купленную версию сломали 3 раза за полтора месяца, а возьмите последующее версии? Они то же без дыр?
DLE это дырявый говнодвиг, который ломают школьники для прикола.
а ты завидуешь этим школьникам что не можешь этого сделать?
ломают массово когда админы ебл*м щёлкают и не обновляют двигло или понаставляют модулей дырявых, а баг выходит в пабл, в дле было пару дыр через которые можно было ливануть шелл, остальные были sql или прочая фигня через которую можно ток хеш узнать пароля, а если поставить норм пароль то они его буду год брутить и делал вывод кто дырявый и кто школьник =)