- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Создал скрипт для установки на ваших сайтах сервера бесплатных объявлений.
На данный момент имеется более 15000 объявлений, скрипт пока не тестировался
подробности и архив для скачивания здесь http://yandas.ru/doska.php
Возникшие вопросы по установке и другие вопросы отписываем здесь
Если хотите установить у себя на сайте потенциальную дыру в безопасности сайта - утсанавливайте.
Я сломаю за 5-10 мин с пивом эту доску и получу всю инфу из вашей базы.
Чтоб не быть голословным выводим 1000 обьявлений))
http://yandas.ru/doska/category.php?id_typ=4%20OR%201%20LIMIT%201000/*&tr=1
Если хотите установить у себя на сайте потенциальную дыру в безопасности сайта - утсанавливайте.
Я сломаю за 5-10 мин с пивом эту доску и получу всю инфу из вашей базы.
Чтоб не быть голословным выводим 1000 обьявлений))
http://yandas.ru/doska/category.php?id_typ=4%20OR%201%20LIMIT%201000/*&tr=1
И каким образом это повлияет на сайты, которые установили мой скрипт?
Какую дыру это создаст на сайтах???
ну, например, доступ не только к таблицам вашей "доски".
jumash добавил 24.04.2009 в 19:05
Эй, кто там стёр все данные?:) Я только начал !:DD
ну, например, доступ не только к таблицам вашей "доски".
jumash добавил 24.04.2009 в 19:05
Эй, кто там стёр все данные?:) Я только начал !:DD
Если это действительно так важно, то это исправил
Есть еще замечания?
И к стати эти проблемы никак не касаются тех кто установит скрипт на своем сайте
Что за глупости?=) Если движок тот же самый - то и их тоже касается. Хотите- давайте список установивших, если есть - и мы тут их тоже проверим :)
Что касается вашего - идём дальше - XSS - http://xn--90acjmnnc1hybf.su/index.php?search=\%22%3E%3Cscript%3Ealert(1)%3C%2Fscript%3E
jumash добавил 24.04.2009 в 19:54
А,это не ваш похоже
jumash добавил 24.04.2009 в 19:58
хе
http://yandas.ru/doska/ind.php?pn=-1&id_typ=151 - те же яйца, только в профиль.
в общем научитесь программировать, перед тем, как предлагать услуги. Правда. И, пожалуйста, начните воспринимать всерьёз безопасность своих программ.
Что касается вашего - идём дальше - XSS - http://xn--90acjmnnc1hybf.su/index.php?search=\%22%3E%3Cscript%3Ealert(1)%3C%2Fscript%3E
Это исправил
Yandas добавил 24.04.2009 в 20:50
http://yandas.ru/doska/ind.php?pn=-1&id_typ=151 - те же яйца, только в профиль.
Ну это ошибочный запрос в базу данных проблем со взломом не должно возникнуть
Yandas добавил 24.04.2009 в 21:01
Что за глупости?=) Если движок тот же самый - то и их тоже касается. Хотите- давайте список установивших, если есть - и мы тут их тоже проверим :)
http://yandas.ru/doska - это скрипт в работе
Так вот же на нём мы только за сегодня три уязвимости нашли?
Вы считаете, что это - ошибочный запрос в БД?
Как вы посмотрите на http://yandas.ru/doska/ind.php?pn=1;DROP TABLE users;/*&id_typ=151 к примеру?=)
Я знаю, что такой таблицы нет - но имея SQL-injection выяснить таблицы в БД - уже дело техники
Давайте ТС установи этот скрипт на свой другой сайт и я удалю ВСЕ таблицы на этом сайте? Или же пришлю логин и пароль пользователя MySQL?
ТС идите учите мат часть, никто в здравом уме не будет пользоватся Вашими программами. Кто будет заказывать 9-ти этажку у архитектора который пропасовал в институте САПРомат?
Так вот же на нём мы только за сегодня три уязвимости нашли?
Вы считаете, что это - ошибочный запрос в БД?
Как вы посмотрите на http://yandas.ru/doska/ind.php?pn=1;DROP TABLE users;/*&id_typ=151 к примеру?=)
Я знаю, что такой таблицы нет - но имея SQL-injection выяснить таблицы в БД - уже дело техники
Лучше покажите место, куда этот запрос можно вставить
Yandas, закажите у меня аудит, тогда покажу. Мы Вам что нанялись указывать на Ваши ошибки?