Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Предусмотрена ли какая небудь защита от заливки постороними лица сшелов и др хаков, ну и вообщем посоветуйте как обезапасить свой сайта при использование скриптов.. .
тема актуальна 
Флаг в руки.
впринципе если вообще запретить тег IMG то XSS атаки из-за которой можно вытащить админский cookies станут безполезными. )
насчет куков, слишко долго держутся, можно ли какнить сократить... . а лучше всего в админике поставить да и нет , сохранять ли куки или нет?
насчет загружаемых скриптов через аваторы и картинки, IPB например сделали что если загружается картинка с кодом и именем name_file*.php.gif и т.д. то автоматом на сервере сохраняется в виде name_file*.txt при этомпрепятствуя запуска скрипта если он както всетаки загрузился, можно конечно через .htaccess но и это не ефективно, думаю зачем обнавлять скрипт постояно если его легко сломать, надо уделять максемум сил на это, т.к. из-за одной ошибки как правило летит весь сайт.
Лех ты молодец, тебе не критикую, тебе за это некто не платит, молодец!!!
peu, о каком теге img речь идёт? Где он в скрипте?
Preslly, аватары можно загружать только с компьютера, с сервера нельзя. Поэтому если прописать в хидерах данные картинки, при загрузки хидер всё равно будет пхпэшный.
Заканчивайте со своими абстракциями. Если нашли дырку, то говорите, не нашли - прально, не говорите. А то получается "сто лет назад на Землю упал Тунгуйский метеорит... казалось бы причём тут Лужков".
о каком теге img речь идёт? Где он в скрипте?
кстати да. у тебя вроде нету в комментах тега IMG - это хорошо! 
Ну я просто имел ввиду если вначале приписать GIF89a, то очень часто и много где прокатывает,
если ктото както свиснул куки человека имеющего доступ к добавлению новости то он таким способом легко может загрузит сшел через картинку, лично только что проверил, и без повреждения кода в сшеле.. .:(
Как-то, что-то, где-то, чем-то... что за дурдом. Ну правда, товарисчи. Вы либо пишите по делу, либо не отвлекайте меня. Я просматриваю все новые треды, а вы отнимаете моё время своим "как-то, где-то". Ещё бы писали "если бы": "если бы, Лёха, у твоей бабушки был член, она была бы твоим дедушкой. такое часто проскакивает". Почитайте себя со стороны.
качаеш r57shell.txt в 1 строке пишеш GIF89a, сохраняеш как r57shell.php.gif загружаеш как картинку если имееш админик или украл куки ну или если ты напросился в корексподенты, и все он легко загружается и дальше можеш делать все что уггодно, не только со скриптом со всем сайтом, ломаеш базы, скрипты и т.д.
Отредактировано Preslly (29 May 2006 17:52:46)
Preslly, а потом ты будешь запускать r57shell.php.gif 
ведь толк буит если это именно .php на конце.
Я думаю теперь Лёха прав. Есть уязвимость говорите. Нету значит и суда нет.
куки тут незя украсть! Тег img не используется!
Preslly, да. дай мне видео. где снято про strawberry а не про другие cms. Тем-более важнее попасть в админку! А там и на некоторых php в новостях можно применять.
про куки можешь сразу забыть. (когда я писал про них я забыл, что тег img незя рулить в комментах).
Дык... Если админку налево и направо не раздавать, то и волноваться не стоит! ))
С шелом, тут не так просто, как кажется! 
...тем более, что тот, кто боится, может вручную аппатчу назначить нужный "content-type" в httpd.conf или .htaccess... image/gif, или прочее... и фиг ты его, как шел прокатишь...
А бояться можно всех php скриптов! ))
...там же инклюды есть!... 
А бояться можно всех php скриптов!
единственная стоящая фраза всей темы.
Эксплойт:
http://localhost/strawberry/example/index.php?cmd=cGhwaW5mbygpOw==&do=../../../../db/base/users.MYD%00
JIyka, вам сюда: http://strawberry.goodgirl.ru/forum/post/13979
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться