StarCraft:BroodWar: news, replays

Быстрый поиск:

Reps.Ru

Главная
Новости
Колонки
Интервью
Статьи
Стратегии
Репортажи
Чемпионаты
Gosu Replays
1:1 games
Team Plays
Реплей паки
Реплеи недели
Реплеи юзеров
Файлы
StarCraft 2
SC UserBars
Наш Дамп

Forum

Общий
Стратегии
Кланы
Чемпионаты
Всё о VOD'ах
Юмор
Музыка и Видео
Помощь
StarCraft II
Покер
Политика
Бизнес
Игры
Поиск

About

ТОП юзеров
Reps.Donate

Info

По вопросам работы сайта, сотрудничества, ньюсмейкерства, спонсорства и размещения рекламы, обращайтесь:
Mail: evil-2002@yandex.ru
ICQ: 864-000

Replay Of The Week

PIMPEST PLAYS 2 reps.ru

Country: vs
Race: NO vs NO
Map: Wuthering Heights
Expansion: NO vs NO
Lenght: 00:00:00
Rating: 10
Event: PP
Comment:
Просмотрел более 500 реплеев, 8 лучших на мой взгляд :) Приятного просмотра d^_^b

» Comment 17
» Downloads: 1549
» All replays of the week





Reps.Ru :

Общий

Как это было.... (33)

К последнему за сегодня

[ГБ] ... (21063)

К последнему за сегодня

Рад вас снова п... (22)

К последнему за сегодня

Bitcoin ... (73)

К последнему ответу

OMG все на snip... (5902)

К последнему ответу

[все темы]

Стратегии

Как бороться с ... (207)

К последнему ответу

Самая несбаланс... (43)

К последнему ответу

TvZ как боротьс... (67)

К последнему ответу

Проиграл? Не зн... (164)

К последнему ответу

Аллергия... (168)

К последнему ответу

[все темы]

Кланы

Команды по СКБВ... (38)

К последнему ответу

тренировки... (131)

К последнему ответу

Набор в [H.D.]... (21)

К последнему ответу

team | PLAY... (28)

К последнему ответу

проводиться наб... (73)

К последнему ответу

[все темы]

Чемпионаты

[ASL3 Ro4] Bisu... (4)

К последнему за сегодня

[ASL3 Ro4] Soul... (4)

К последнему ответу

[ASL3 Ro8] Flas... (47)

К последнему ответу

[ASL3 Ro8] Soul... (51)

К последнему ответу

Quakecon... (165)

К последнему ответу

[все темы]

Всё о VOD'ах

Dewalt 2017: FP... (31)

К последнему ответу

gosu каналы на ... (17)

К последнему ответу

4 часа Сушего&#... (6)

К последнему ответу

FlaSh vs Jangbi... (214)

К последнему ответу

Lancer vs Julia... (16)

К последнему ответу

[все темы]

Юмор

Продолжаем тему... (1113)

К последнему ответу

В рот мне ноги&... (15)

К последнему ответу

Рейтинги, Сцуко... (96)

К последнему ответу

portal 2... (39)

К последнему ответу

Ребята ... (7)

К последнему ответу

[все темы]

Музыка и Видео

Game of Thrones... (507)

К последнему ответу

Breaking Bad Се... (269)

К последнему ответу

Какую музыку сл... (1513)

К последнему ответу

Кто убил электр... (206)

К последнему ответу

Arkasia ... (2)

К последнему ответу

[все темы]

Помощь

Проблема с запу... (8)

К последнему ответу

Новый патч 1.18... (8)

К последнему ответу

Жизнь ! ... (534)

К последнему ответу

Фанаты БрудВара... (7)

К последнему ответу

Настройка хотке... (22)

К последнему ответу

[все темы]

StarCraft II

БВшеры vs СК2по... (1464)

К последнему ответу

SC2 HOTS ... (82)

К последнему ответу

В УГ2 платные ю... (37)

К последнему ответу

[SC2] Поиграть ... (13)

К последнему ответу

FP-Stream SeleC... (3)

К последнему ответу

[все темы]

Покер

ЛУДОМАНИЯ :) [2... (19)

К последнему ответу

Про покер... (34)

К последнему ответу

ЛУДОМАНИЯ :) [... (17)

К последнему ответу

Как играть... (30)

К последнему ответу

Liquid Welcomes... (0)

[все темы]

Политика

Что на Украине?... (20209)

К последнему ответу

Что в США ?... (190)

К последнему ответу

ПОЛИТОМАНИЯ... (544)

К последнему ответу

Что на России?... (1815)

К последнему ответу

Что в Европе.... (229)

К последнему ответу

[все темы]

Бизнес

прогноз по валю... (216)

К последнему ответу

Скандал с продж... (190)

К последнему ответу

iLoh ... (123)

К последнему ответу

Хаха, зачем теб... (15)

К последнему ответу

Щелкунчик... (20)

К последнему ответу

[все темы]

Игры

Hearthstone... (4575)

К последнему ответу

World of Tanks ... (255)

К последнему ответу

Ведьмак 3 Дикая... (20)

К последнему ответу

Dead by Dayligh... (4)

К последнему ответу

Исследование MM... (19)

К последнему ответу

[все темы]

Ищем уязвимости на кузах

Pb предложил запостить тему т.к. у кого-то есть инфа =)
Я думаю всем надоело поведение этого кидиса, так что инфой стоит поделиться =)

инфу слать на Mail»

1 2 Вперед

Ответы

niaaaaaa ^_^

Да, мне сегодня несколько человек говорили о возможных дырках, к сожалению после ребута у меня пропадают все неавторизованные контакты и я не могу вспомнить кто это был. Народ - поможем кузам вместе

Пешите Фронеке чо пофиксить.

как насчет поставить vbulletin (или любой другой нормальный аналог) и перенести базу данных туда?

написать триггер, который будет срабатывать на удаление тем
при срабатывании блочить вредный ip, стопить БД и делать откат

что-то фиксить.. я хз, ведь надо движок ковырять, иначе это будет тыканье пальцем в небо, но выставлять на обозрение вы его не будете; есть мысль привязать аккаунт еще к какому то профилю, типа OpenID

да и кстати, где ответ на то, что сперли админку фрониковскую? круг проблем при этом решении сужается

=) ничего не перли

Ну стопорить что-то или блочить смысла нет, а вдруг это Ларго что-то чистит =)

Прикручивать еще костылей не имеет смысла =) и так уже один прикручивал и не помогло.
Менять форум тоже не канает и по внутренним, и по внешним причинам.

На данный момент надо просто поправить где-то спрятавшуюся SQL инъекцию.
А потом ужо ждать кузов 2.0, ну либо если не дождемся, то мы с Овером решим че делать.

Froniki пишет:


как не перли, а охуевший константин? или это шутка такая
триггер по-любому напиши, его недолго сделать
и при срабатывании немедленный дамп, и захуярить ему борща в глаза блочишь ip
триггер можно написать и так, что удалить вообще ничего нельзя, а удаление тем могут производить уже вручную юзеры самой БД с определенными правами.

если все таки произошло удаление темы, сравниваешь немедленный дамп с обычным, видишь изменения и после отката вносишь их

на кузы2.0 было бы неплохо сделать интеграцию с репсами, я думаю несложно будет инфу с профилями перенести

если бы это была SQL инъекция, у хакира щас бы была в доступе целая БД, чем это чревато - сам знаешь. Так что, это сперли админку обычным брутфорсом. Но это еще пока имхо. И да, где каптча после 3х неправильных вводов пароля? Ее сделать тоже недолго.

В общем, из первых решений, что можно сделать:
1) правильно настроенный триггер, срабатывающий при попытке запроса удаления
2) каптча после 3х неверных вводов пароля

все можно быстро настроить и не потребует серьезных изменений в двиге

Froniki пишет:


Пример мне SQL инекции можешь дат я вобще не в курсе как они рабтаю понимаю что это через форум "From" за пихиват запрос в SQL но как это робит ?
а то я всеголиш учусь и знаю про инеции лишь то что они есть =))))) (даже боротся с ними незнаю как)


s71m пишет:


Да не кто не обидется если она сразу будет я думаю.

CocoK пишет:


ты, наверное, имеешь ввиду через форму?

s71m пишет:


ну так и будет в общем

s71m пишет:


s71m пишет:


таки да опечаточка =))

знаю что майк с гопленом вкурсе точна

ну то что Гоблен юзал, кажется я тогда еще закрыл, после дефейса

чо произошло то?

CocoK пишет:


Да не парься в данном случае мне нужно выяснить о уже раскрытых уязвимостях, новых искать уж точно не надо

По логам я брут не углядел, но капчу я поставлю =) до того просто времени не было

desot пишет:


http://www.webpagescreenshot.inf...11105017PM

s71m пишет:


this

CocoK пишет:


просто уберите на время всем админку, пока не разберётесь где баг :)

2 #20


не фига не понял я жопа. гуул не помог.

CocoK пишет:


В данном случае имя должно же как-то забиться в базу данных. Оно допустим вводиться с формы, а потом передается как один из параметров в SQL-запросе, это имя, собственно в базу помещающего. Но если в имени добавить управляющий символ эскюэля, то будет возможным добавить какую-нить команду. Вот на вики покури, пример с картинки называется "Расщепление SQL-запроса".
Это все конечно примитивно так описал я, в реале взломать должно быть сложнее, так как между вводом значения и передачей его непосредственно квэре, которая вбивает его в базу, как правило куча обработчиков, во многие из которых уже вшита зашита от инъекций, либо добавлена логика для проверки подобных непредусмотренных действий.

Я вчера спайдером пробежался по кузам, нашел 2 дыры для SQL иньекции, 2 дыры для XSS и еще куча мелких косяков. Причем спайдер был самый простенький :)

Вечером напишу более конкретную инфу на ящик, ибо ща на работе, а отчет дома

кстати ручками пробовал заинжектить SQL запрос на forum.php, но видимо где то наебланил, поэтому до базы толком не долез

безопасность сайта никакая а с админского профиля
при таких пассах md5 хеш за пол дня любой ломанет даже на офлайн мощностях а вообще админы не должны использовать детские пасы а то так в кошки мышки играть можно долго а мейлы он уже знает

да, Пб про это я писал

BECHAStazeg)) пишет:


дай спайдера а ...

че можно теперь ломать кузы и за это не забанят?

не недо уже нашёл чегто...



атятят по попких хакера нужно отшлёпать УК РФ


http://www.securitylab.ru/forum/...opic50087/

CocoK пишет:


дома

BECHAStazeg)) пишет:


ты же его не сам писал можно было и названия дать =) а вобще я уже что то нагуглил.... кхм .как то не думал что есть програмы по отлову web багов... хочу попользевтаься в свохи целья =) вот =)


бля толи я уже выпил лишнего толе чего но нефига не понял бля как чем пользеватья

есть с понятным итерфесом видозным тузлы ?

CocoK пишет:




ну учитывая что ты полдня не мог на кузы залогиниться то просто тупо подожди до завтра

CocoK пишет:


xspider

1 2 Вперед

Добавить ответ

Вы не зарегистрированы на сайте, поэтому данная функция отсутствует.
You are not register on the site and this function is disabled.

Everything about Starcraft Broodwar world Pro-gaming. Gosu Replays

User

Create your profile on reps.ru

» регистрация
» восстановление пароля
Почта/Логин:

Пароль: