- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Обнаружил ошибку на Вашем сайте. Ошибка в скрипте очень серьезная
(SQL-injection).
Для уверенности вот Вам данные с первого сайта на Вашем сервисе:
e-mail: ляля@okis.ru
Хеш пароля: 99b9d83**совпадает**3a6bd6
Если Вам интересно - продам багу, если нет - выложу в паблик, пускай
новички практикуются.
Вот такое вот сегодня получил. Данные совпадают. Емэйл то где угодно можно нарыть, а хэш в принципе закрыт.
Вопрос что делать? Сильно пугаться и выкладывать бабло? :)
Или посмотреть скрипты ... Не подскажите каким образом такие данные добывают и как их закрыть. Мож это баян, а я не знаю.
А погуглить и после подправить скрипты?
http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%8A%D0%B5%D0%BA%D1%86%D0%B8%D1%8F_SQL
Скорее всего где то в скриптах поставляются переменные php (взятые из строки адреса, из формы и т.п.) непосредственно в тело запроса к БД без предварительной проверки. Выход - тщательно посмотреть все запросы к БД на предмет данной подстановки и включит в эти места проверку.
Еще посмотрите статистику обращений к страницам - если такова есть. Обратите внимания на странные запросы ... и быть может найдете что использовал хаккер. В результате анализа дейсвий сможете им восприпятствовать.
Используйте интерфейс работы с БД на основе плейсхолдеров, например, goDB - и забудете про SQL-инъекции как про страшный сон.
GoDB
Защита от инъекций
А этим горе-хакерам надо руки оторвать за такой способ заработка. Услуги нужно ПРЕДЛАГАТЬ, а не ВЫМОГАТЬ.
А чего за движок?
А сколько просит, если не секрет?
если бесперебойная работа сайта очень важна, а цена не высока для вас, то имхо стоит сначала самому поискать баг. Если не найдёте платите хакеру и в дальнейшем не допускайте подобных ошибок. по сути нужны быть благодарным что этот человек хочет денег, а ведь мог бы понаделывать своих чёрных дел. (хотя не исключено что ещё не понаделывал).
:)
Обновите CMS (если). Измените все пароли. И забудите о нем.
P.S. Думаю он не сам нашел уязивимости. А использовал публик инфо.
P.S. Вы можите искать в инет уязивимости ваш CMS в этом сайте и подобие.
P.S. Если хотите дайте адрес сайте. Проверим и решим этот проблем
Действительно все оказалось весьма просто. Глянул в статистику и нашел это
http://okis.ru/news.-1 UNION SELECT 1,2,3,4,5 FROM phpbb_salt/*.html
подправил код и дырка закрылась.
Всем спасибо за советы. Пошел писать фильтры на входящие переменные.
Опа.. старый phpbb? хотябы в личку напишите, какой двиг, если phpbb то многим думаю было би интересно.
Кстати, навеяло, легко лохоторон организовать:
1. Находим сайт с движком хранящем пароли в виде md5-хэша
2. Регистрируемся в форуме
3. На дому генерируем md5-хэш к паролю указанному при регистрации
4. Шлем письмо аналогичное приведенному автором топика
5. Получаем деньги и ищем следующего "лоха"
- назовем это "атака типа MD5-fishing" ©
Brim.ru, я когда прочитал первое сообщение ТС, так и подумал, что подобный развод. :)