StarCraft:BroodWar: news, replays

Быстрый поиск:

Reps.Ru

Главная
Новости
Колонки
Интервью
Статьи
Стратегии
Репортажи
Чемпионаты
Gosu Replays
1:1 games
Team Plays
Реплей паки
Реплеи недели
Реплеи юзеров
Файлы
StarCraft 2
SC UserBars
Наш Дамп

Forum

Общий
Стратегии
Кланы
Чемпионаты
Всё о VOD'ах
Юмор
Музыка и Видео
Помощь
StarCraft II
Покер
Политика
Бизнес
Игры
Поиск

About

ТОП юзеров
Reps.Donate

Info

По вопросам работы сайта, сотрудничества, ньюсмейкерства, спонсорства и размещения рекламы, обращайтесь:
Mail: evil-2002@yandex.ru
ICQ: 864-000

Replay Of The Week

PIMPEST PLAYS 2 reps.ru

Country: vs
Race: NO vs NO
Map: Wuthering Heights
Expansion: NO vs NO
Lenght: 00:00:00
Rating: 10
Event: PP
Comment:
Просмотрел более 500 реплеев, 8 лучших на мой взгляд :) Приятного просмотра d^_^b

» Comment 17
» Downloads: 1579
» All replays of the week





Reps.Ru :

Общий

RusBrain Cup. Ч... (3)

К последнему ответу

[ГБ] ... (21743)

К последнему ответу

Кто тут босс?... (26)

К последнему ответу

OMG все на snip... (6725)

К последнему ответу

Де-тасамая-прес... (38)

К последнему ответу

[все темы]

Стратегии

5 барраков с +1... (27)

К последнему ответу

Кто-то сейчас и... (39)

К последнему ответу

Флэш фанится... (27)

К последнему ответу

Ищу Билд Ннада ... (7)

К последнему ответу

Z v P: Мощная а... (41)

К последнему ответу

[все темы]

Кланы

[REPS] ... (33)

К последнему ответу

PR For Pastime ... (148)

К последнему ответу

DEL ... (9)

К последнему ответу

Развитие клана... (35)

К последнему ответу

Единый реестр к... (175)

К последнему ответу

[все темы]

Чемпионаты

О ЛАНах и не то... (17)

К последнему ответу

StarCraft: Rema... (91)

К последнему ответу

ASL 4 (Единая т... (410)

К последнему ответу

BWCL is back wi... (12)

К последнему ответу

remastered Medi... (61)

К последнему ответу

[все темы]

Всё о VOD'ах

08 Dewalt [FPVO... (22)

К последнему ответу

FPV JunG[mGw] V... (23)

К последнему ответу

ЗАРАБОТОК на за... (33)

К последнему ответу

Dewalt [FPVOD&#... (43)

К последнему ответу

OSL 2010 815 vs... (17)

К последнему ответу

[все темы]

Юмор

Немного Юмора н... (25)

К последнему ответу

Как я встретил ... (21)

К последнему ответу

Продолжаем тему... (1117)

К последнему ответу

Опыт задрота (R... (9)

К последнему ответу

В рот мне ноги&... (16)

К последнему ответу

[все темы]

Музыка и Видео

Как называется ... (6)

К последнему ответу

Какую музыку сл... (1526)

К последнему ответу

Game of Thrones... (640)

К последнему ответу

Кто убил электр... (223)

К последнему ответу

VERSUS ... (166)

К последнему ответу

[все темы]

Помощь

Обновил Ремасте... (21)

К последнему ответу

ск поделиться )... (35)

К последнему ответу

Проблема с запу... (16)

К последнему ответу

тачку-хуячку хо... (20)

К последнему ответу

Айкап всё?? Или... (38)

К последнему ответу

[все темы]

StarCraft II

МАНИФЕСТ... (60)

К последнему ответу

БВшеры vs СК2по... (1474)

К последнему ответу

SC2 HOTS ... (82)

К последнему ответу

В УГ2 платные ю... (37)

К последнему ответу

[SC2] Поиграть ... (13)

К последнему ответу

[все темы]

Покер

Про покер... (42)

К последнему ответу

ЛУДОМАНИЯ :) [2... (19)

К последнему ответу

ЛУДОМАНИЯ :) [... (17)

К последнему ответу

Как играть... (30)

К последнему ответу

Liquid Welcomes... (0)

[все темы]

Политика

Что на Украине?... (20433)

К последнему ответу

Что на России?... (1944)

К последнему ответу

Что в Европе.... (246)

К последнему ответу

Что в США ?... (207)

К последнему ответу

ПОЛИТОМАНИЯ... (569)

К последнему ответу

[все темы]

Бизнес

TOR's virt... (89)

К последнему ответу

Да это бизнес, ... (77)

К последнему ответу

Заработок на IC... (22)

К последнему ответу

Бизнесмены на к... (151)

К последнему ответу

Плотские утехи ... (85)

К последнему ответу

[все темы]

Игры

PUBG game... (118)

К последнему ответу

Hearthstone... (4606)

К последнему ответу

Doom 4 ... (171)

К последнему ответу

Warcraft II - g... (113)

К последнему ответу

Heroes3: ХоММка... (812)

К последнему ответу

[все темы]

Ищем уязвимости на кузах

Pb предложил запостить тему т.к. у кого-то есть инфа =)
Я думаю всем надоело поведение этого кидиса, так что инфой стоит поделиться =)

инфу слать на Mail»

1 2 Вперед

Ответы

niaaaaaa ^_^

Да, мне сегодня несколько человек говорили о возможных дырках, к сожалению после ребута у меня пропадают все неавторизованные контакты и я не могу вспомнить кто это был. Народ - поможем кузам вместе

Пешите Фронеке чо пофиксить.

как насчет поставить vbulletin (или любой другой нормальный аналог) и перенести базу данных туда?

написать триггер, который будет срабатывать на удаление тем
при срабатывании блочить вредный ip, стопить БД и делать откат

что-то фиксить.. я хз, ведь надо движок ковырять, иначе это будет тыканье пальцем в небо, но выставлять на обозрение вы его не будете; есть мысль привязать аккаунт еще к какому то профилю, типа OpenID

да и кстати, где ответ на то, что сперли админку фрониковскую? круг проблем при этом решении сужается

=) ничего не перли

Ну стопорить что-то или блочить смысла нет, а вдруг это Ларго что-то чистит =)

Прикручивать еще костылей не имеет смысла =) и так уже один прикручивал и не помогло.
Менять форум тоже не канает и по внутренним, и по внешним причинам.

На данный момент надо просто поправить где-то спрятавшуюся SQL инъекцию.
А потом ужо ждать кузов 2.0, ну либо если не дождемся, то мы с Овером решим че делать.

Froniki пишет:


как не перли, а охуевший константин? или это шутка такая
триггер по-любому напиши, его недолго сделать
и при срабатывании немедленный дамп, и захуярить ему борща в глаза блочишь ip
триггер можно написать и так, что удалить вообще ничего нельзя, а удаление тем могут производить уже вручную юзеры самой БД с определенными правами.

если все таки произошло удаление темы, сравниваешь немедленный дамп с обычным, видишь изменения и после отката вносишь их

на кузы2.0 было бы неплохо сделать интеграцию с репсами, я думаю несложно будет инфу с профилями перенести

если бы это была SQL инъекция, у хакира щас бы была в доступе целая БД, чем это чревато - сам знаешь. Так что, это сперли админку обычным брутфорсом. Но это еще пока имхо. И да, где каптча после 3х неправильных вводов пароля? Ее сделать тоже недолго.

В общем, из первых решений, что можно сделать:
1) правильно настроенный триггер, срабатывающий при попытке запроса удаления
2) каптча после 3х неверных вводов пароля

все можно быстро настроить и не потребует серьезных изменений в двиге

Froniki пишет:


Пример мне SQL инекции можешь дат я вобще не в курсе как они рабтаю понимаю что это через форум "From" за пихиват запрос в SQL но как это робит ?
а то я всеголиш учусь и знаю про инеции лишь то что они есть =))))) (даже боротся с ними незнаю как)


s71m пишет:


Да не кто не обидется если она сразу будет я думаю.

CocoK пишет:


ты, наверное, имеешь ввиду через форму?

s71m пишет:


ну так и будет в общем

s71m пишет:


s71m пишет:


таки да опечаточка =))

знаю что майк с гопленом вкурсе точна

ну то что Гоблен юзал, кажется я тогда еще закрыл, после дефейса

чо произошло то?

CocoK пишет:


Да не парься в данном случае мне нужно выяснить о уже раскрытых уязвимостях, новых искать уж точно не надо

По логам я брут не углядел, но капчу я поставлю =) до того просто времени не было

desot пишет:


http://www.webpagescreenshot.inf...11105017PM

s71m пишет:


this

CocoK пишет:


просто уберите на время всем админку, пока не разберётесь где баг :)

2 #20


не фига не понял я жопа. гуул не помог.

CocoK пишет:


В данном случае имя должно же как-то забиться в базу данных. Оно допустим вводиться с формы, а потом передается как один из параметров в SQL-запросе, это имя, собственно в базу помещающего. Но если в имени добавить управляющий символ эскюэля, то будет возможным добавить какую-нить команду. Вот на вики покури, пример с картинки называется "Расщепление SQL-запроса".
Это все конечно примитивно так описал я, в реале взломать должно быть сложнее, так как между вводом значения и передачей его непосредственно квэре, которая вбивает его в базу, как правило куча обработчиков, во многие из которых уже вшита зашита от инъекций, либо добавлена логика для проверки подобных непредусмотренных действий.

Я вчера спайдером пробежался по кузам, нашел 2 дыры для SQL иньекции, 2 дыры для XSS и еще куча мелких косяков. Причем спайдер был самый простенький :)

Вечером напишу более конкретную инфу на ящик, ибо ща на работе, а отчет дома

кстати ручками пробовал заинжектить SQL запрос на forum.php, но видимо где то наебланил, поэтому до базы толком не долез

безопасность сайта никакая а с админского профиля
при таких пассах md5 хеш за пол дня любой ломанет даже на офлайн мощностях а вообще админы не должны использовать детские пасы а то так в кошки мышки играть можно долго а мейлы он уже знает

да, Пб про это я писал

BECHAStazeg)) пишет:


дай спайдера а ...

че можно теперь ломать кузы и за это не забанят?

не недо уже нашёл чегто...



атятят по попких хакера нужно отшлёпать УК РФ


http://www.securitylab.ru/forum/...opic50087/

CocoK пишет:


дома

BECHAStazeg)) пишет:


ты же его не сам писал можно было и названия дать =) а вобще я уже что то нагуглил.... кхм .как то не думал что есть програмы по отлову web багов... хочу попользевтаься в свохи целья =) вот =)


бля толи я уже выпил лишнего толе чего но нефига не понял бля как чем пользеватья

есть с понятным итерфесом видозным тузлы ?

CocoK пишет:




ну учитывая что ты полдня не мог на кузы залогиниться то просто тупо подожди до завтра

CocoK пишет:


xspider

1 2 Вперед

Добавить ответ

Вы не зарегистрированы на сайте, поэтому данная функция отсутствует.
You are not register on the site and this function is disabled.

Everything about Starcraft Broodwar world Pro-gaming. Gosu Replays

User

Create your profile on reps.ru

» регистрация
» восстановление пароля
Почта/Логин:

Пароль: