Autor | Zpráva | ||
---|---|---|---|
clousseau Profil |
#1 · Zasláno: 11. 2. 2014, 21:04:45
Nejpíš mám na svém webu (PHP, MySQL) nějakou "díru", byl by někdo ochotný a znalý otestovat stránky na nejrozšířenější průniky? Děkuji předem, odměním se dle domluvy, nejlépe bartrem
|
||
MrVoltz Profil * |
#2 · Zasláno: 11. 2. 2014, 21:30:16
Mohl bych to zkusit, nejsem v tom ale moc znalý a vždycky jsem toužil po tom někomu "hacknout" web aniž by z toho byl problém :-)
|
||
clousseau Profil |
#3 · Zasláno: 11. 2. 2014, 21:51:55 · Upravil/a: clousseau
nechci hacknout, jenom otestovat, jestli tam nemám nějaké díry, což určitě mám jak se zdá ;-) posílám link, revanš dle domluvy
MrVoltz: nechci hacknout, jenom otestovat, jestli tam nemám nějaké díry, což určitě mám jak se zdá ;-) posílám link, revanš dle domluvy www.blesarna.cz |
||
Medvídek Profil |
#4 · Zasláno: 11. 2. 2014, 22:05:10
clousseau:
Stačilo chvilku koukat a zjisti, že to jede na WeBid, poté se mrknout, jestli nemají nějaký problém s SQL injection a nějakej článek, celkem novej se našel, viz: http://www.exploit-db.com/exploits/23997/ http://www.blesarna.cz/validate.php?toocheckout=asdf by měla tedy být ta url, ale nezkoušel jsem to. |
||
MrVoltz Profil * |
#5 · Zasláno: 11. 2. 2014, 23:12:06
Trošku jsem si s tím hrál a našel jsem pár chyb. U inputů (přihlašování) nepoužívej addslashes, ale mysql_real_escape_string (nebo podobné). Pak, když vypisuješ znova hodnotu do value="" tak to obal do htmlspecialchars. Poté skript getthumb.php vypisuje chyby, když se tomu předají nějaké nesmysly, a tak se neobjeví ten obrázek. Příklad:
Warning: file_exists(): File name is longer than the maximum allowed path length on this platform (4096): images/././././././././././././././$ Warning: fopen(): File name is longer than the maximum allowed path length on this platform (4096): images/./././././././././././././././././$ Warning: fopen(images/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././.$ �PNG ^Z ^@^@^@^MIHDR^@^@^@d^@^@^@^^^A^C^@^@^@��)�^@^@^@^FPLTE���^@^@^@U��~^@^@^@YIDAT^X�c`�^A`d`�^@R,^L^L ^B`^A(�^Aȳc6y`ٳS�q�qR�^N�Jm^E��^C�*LgԀr�Z^O�"^LTU�y^T�^@U.RЀ�{�r��R9H?À^AZ8u(^@^@4݀^P�x^TD�^@^@^@^@IEND�B`� |
||
clousseau Profil |
#6 · Zasláno: 11. 2. 2014, 23:29:57
dekuji mnohokrat, projedu kod, nejsem v bezpecnosti nijak vzdelan, poslete mi (if chcete) nejaky vas link, dam vam jej na blesarnu i worldpokerlife com
kdybyste jeste neco objevili, sem s tim, jadro je skutecne Wibid |
||
Časová prodleva: 10 let
|
0