Mdinc, послушайте.
Вы не подумайте, что мы сомневаемся в найденных вами багах. Но вот уже хочется закрыть дискуссии. Вот сайт со стандартным вордпрессом на стандартном хостинге:
http://dignity.leaderhost.ru/wordpress/
Пожалуйста покажите ошибку. Удалите файл - мы будем тогда искать дыру и закрывать, а то право, так словами уже надоело. Этот сайт не нужный и создавался нами для того, чтобы проверить хостинг.
Нам бы действительно хотелось найти эту ошибку. Вы же уже сломали свой сайт, ну разве трудно то же самое сделать. Это же работа 1 часа. Мы даже готовы оплатить эту работу US$40 за час. Такое не получают разработчики в Росии.
Хотелось бы закрыть эту дискуссию.
Если вы просто подняли дискуссию ради "пошуметь" и отпугнуть людей, то я вас не понимаю. Если ошибка есть, дайте возможность исправить ее, если вы уж нашли.
PS: Конечно, ошибки в софте бывают и нам хочется исправить все недочеты.
Через telnet посылали файлы с относительными путями.
Мде... Жесть как есть...
Специально попробовали подделывать HTTP запрос для относительных путей. Не получается. PHP чистит. Нельзя там (в нашем случае) . , ../.. и т.п.
Что касается $SERVER, то там вообще-то используется Случайный суффикс сайта, так что подделать тоже проблемно. Только брутфорс. 10^20 это много. За реальное время невозмножно отбрутфорсить.
Кроме того, даже если гипотетически предположить что в этом месте вы заменили $SERVER, можете видеть, что в файл запись не производится. Только проверяется возможно ли в него что-то записать и все.
Добрый день.
1. Указанная вами "дыра" не является таковой. Если вы внимательно посмотрите код, то поймете, что по файловой системе гулять нельзя. Вы вне TMPDIR ничего удалить не сможете. Ибо, смотрите пожалуйста. Резюме: нельзя удалить файлы на web-сервере с помощью указанного бага.
Можете здесь пробовать: http://dignity.leaderhost.ru/wordpress/
Впрочем, вы навели нас на кое-какие полезные мысли относительно усиления безопасности. За это спасибо.
2. Если пользователь хочет защититься от этого (пусть даже мифическая ошибка есть) ему достаточно запретить nahaa для POST запросов, ведь все равно на этих страницах ссылки покупать смысла нет. Через .htaccess.
С Уважением, служба поддержки Nahaa.
Нет, не правильно!
Плохо декомпилировали и чистили. На сервер Nahaa ничего с сайта пользователя не отправляется - индексация проводится обычным http-роботом, о чем можете посмотреть в логах веб-сервера. С сервера Nahaa на сайт пользователя сгружается только файл replacements.txt.
Более подробно смотрите статью: http://nahaa.ru/kb/2009/01/11/principy-raboty-klientskogo-modulya-nahaa/
Еще раз: Клиентский модуль Nahaa не собирает какую бы то ни было внутреннюю информацию, доступную как из web-сервера, так и извне.
С Уважением, служба подержки Nahaa
хорошо. Эх... не везет как всегда (c)
Разберемся с этой проблемой. Спасибо за ваше сообщение.
Наша задача - обеспечить безопасность пользователей. Мы готовы заплатить за это 2000 WMZ.
Заметьте, что задача ставится именно так, как бы она и решалась злоумышленниками. Известен URL - надо взломать. Готовы увеличить время взлома до 1 недели, если это что-то поменяет.
Добрый день,
мы решили что обязательно хотим исправить "критическую" ошибку, которую нашел mdinc и предлагаем следующий конкурс:
мы выбираем среди уважаемых форумчан арбитра, которому переводим по 2000 WMZ (как мы, так и mdinc). После этого арбитр выбирает хостинг на котором устанавливается какой-то демонстрационный веб-сайт с кодом nahaa, при этом mdinc получает URL сайта для взлома через nahaa. Обязательные требования к хостингу - должен входить в TOP5 хостерских компаний RUNet, виртуальный хостинг должен быть реализован на Plesk, CPanel, окружение GNU/Linux.
После этого mdinc демонстрирует его взлом, основанный на дыре в nahaa. В случае убедительных результатов взлома, полученных в течение суток после установки вся сумма за вычетом 5% переходит mdinc. 5% отходят арбитру. Если взлома нет в течение суток, то на таких же условиях сумма переходит Nahaa.
При успешном взломе mdinc озвучивает способ взлома и способ защиты, который мы реализуем как можно скорее. После озвучивания и нашей проверки получает причитающийся приз.
