Биржа ссылок в контексте Nahaa.ru

Дык, а чем страшен сеопульт в плане контекста? :)

А тем, Юрочка, что контекст никому не нужен. :)

Вот позорный слив то! Сам цену назначил, блефовал, а потом в кусты.

1) кажется ты уже пытался кому то доказать о каких то легких дырах.

2) да-да, что время тратить на какие-то 2к, но про 20к лучше не заикаться - вдруг блеф не пройдет.

3) так ты и есть студент, "расшифровал" код, а смысл не понятен?

4) вот это похоже, обкакать чужое, и больше "не намерен". Да ткнуть публично конкурентов лицом в дыру самое благое дело, но только не так позорно.

nahaa, смысл "шифрования" кода так и не понятен, он расшифровывается за 5 минут. Зачем это нужно?

Ты же сам сказал, что

Это про сабжевую биржу контекста или?

А это биржа строго контекста 😕 А я и не в курсе 😂

Значит, скорее "или".

RewriteEngine On 

RewriteBase / 

RewriteCond %{HTTP:NAHAAIGNORE_ID_} !^Yes$ 

RewriteCond %{REQUEST_METHOD} ^(GET|POST)$ [NC] 

RewriteCond %{HTTP_HOST} ^(www\.)*mail.ru$ [NC] 

RewriteCond %{REQUEST_URI} !.*\.(css|ai|jpg|doc|bin|ogg|mp3|pdf|rtf|ps|ppt|jpeg|png|gif|rar|zip|bz|bz2|gz|tar|iso|chm|z|cue|deb|rpm|ac3|au|snd|mid|midi|wav|bmp|jpe|psd|avi|mpg|mpeg|mpe|mp4)$ [NC] 

RewriteCond %{REQUEST_URI} !nahaa\.php$

RewriteRule ^(.*)$ /nahaa_ID_/nahaa.php [L] 

Правильно ли я понимаю, что после установки этого кода в htaccess ЛЮБЫЕ запросы к сайту, в том числе и к админке, при отсутствии явных перекрывающих других htaccess правил, будут пропускаться через ваш прокси-скрипт, который будет отправлять на сервер данные о сайте, например открываемые пользователем или администратором урлы или же их содержимое?

ps: код декомпилировал и почистил. Обсуждаемый в данном топике php://input - ерунда. Гораздо интереснее в плане безопасности вышеозвученный момент.

Нет, не правильно!

Плохо декомпилировали и чистили. На сервер Nahaa ничего с сайта пользователя не отправляется - индексация проводится обычным http-роботом, о чем можете посмотреть в логах веб-сервера. С сервера Nahaa на сайт пользователя сгружается только файл replacements.txt.

Более подробно смотрите статью: http://nahaa.ru/kb/2009/01/11/principy-raboty-klientskogo-modulya-nahaa/

Еще раз: Клиентский модуль Nahaa не собирает какую бы то ни было внутреннюю информацию, доступную как из web-сервера, так и извне.

С Уважением, служба подержки Nahaa

А причем здесь хорошо или плохо? Я разве просил давать оценку той работе, которую вы даже и не видели? Я всего лишь спросил, зачем вы пропускаете каждый файл через свой скрипт и зачем в вашем исходнике присутствуют классы для gzip сжатия и отправки через Curl либо же через сокеты информации методами post.

Разбираться в 800 строчках кода, каждая переменная которого представляет из себя название типа werNd9jrY полностью не требуется. Требуется оценить, что там примерно происходит и задать уточняющие вопросы администрации, которая в теории должна адекватно ответить на поставленный вопрос, а не проявлять агрессию на тему "вы не так все понимаете, читайте доки, которые объясняют что там у нас на самом деле происходит и верьте им".

Я предлагаю познакомиться с фактами, имеющимися в открытом доступе на текущий момент:

Скрипт имеет доступ к технической информации, например такой как логин и пароль? Имеет.

Скрипт имеет классы для отправки информации на другие сервера. Имеет.

Скрипт отправляет что-либо? Неизвестно. Собственно с этим "неизвестным" я и предложил разобраться тем, кто заинтересован в том.

Со статьей по ссылке ознакомился. Ваше ноу-хау является, по сути дела, реализацией так называемого cgi-proxy сделанного на php. Доступно в открытом виде в таких программах как phpproxy, например. Принцип действия хороший. Реализуется ли он на практике в вашем клиенте - понятия не имею, оперирую теми фактами, что есть.

Ну, значит я не в теме..

Читал это

Сорь что пропал (не до форума было)

И так ошибка связана с недостаточностью фильтрации массива $_FILES

Благодаря специально составленному запросу можно удалять любые файлы

if($_FILES) {

$files = array();

$files = $this->ORA1cgP0A($_FILES);

foreach($files as $key => $cEF48gFDY) {

if($cEF48gFDY['name'] && $cEF48gFDY['tmp_name']) {

$rFR34gbTR = dirname($cEF48gFDY['tmp_name'])."/".$cEF48gFDY['name'];

if(file_exists($rFR34gbTR)) @unlink($rFR34gbTR);

if(@rename($cEF48gFDY['tmp_name'], $rFR34gbTR)) {

$files[$key] = "@".$rFR34gbTR; $nUR51gYtm[] = $rFR34gbTR;

Set_Logs(' '.$rFR34gbTR);

}

}

}

Разработчикам обратить на это внимание

А ну еще конечно нужна соответствующие права

но это еще не самая беда больше беда что чтоб отпрапвлять запросы ненцжен никакой айди биржи

а эта функция посути ничего не делает для устранения этой проблемы

function ORA1cgP0A($array, $COV38gesi = null) {

$_DATA = array();

foreach ($array as $key => $jDG54gLhA) {

$key = isset($COV38gesi) ? sprintf('%s[%s]', $COV38gesi, $key) : $key;

if (is_array($jDG54gLhA)) {

$_DATA = array_merge_recursive($_DATA, $this->ORA1cgP0A($jDG54gLhA, $key));

} else if (preg_match('#^([^\[\]]+)\[(name|type|tmp_name)\]#', $key, $HgM2fgaUK)) {

$_DATA[str_replace($HgM2fgaUK[0], $HgM2fgaUK[1], $key)][$HgM2fgaUK[2]] = $jDG54gLhA;

}

}

return $_DATA;

}

Вот так бай