Опубликовано: 23 августа 200916 г Автор просто я знаю что есть SQL инекции которые при помощи подключали трояны которые воровали пароли с кукисов !!!
Опубликовано: 23 августа 200916 г Не опасны, но у меня запрещены. И gif файлы в аваторах. Считаю, что на информативном форуме, это только отвлекает.
Опубликовано: 23 августа 200916 г У нас разрешены, но народ этим не страдает практически.Инфу в профиле и подписи заполняют в основном спамеры.
Опубликовано: 29 октября 200916 г Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.
Опубликовано: 29 октября 200916 г Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.Загрузить? Речь идет об удаленном . А потом, загрузите, а дальше? Не стоит на ночь, читать журнал Хакер.
Опубликовано: 29 октября 200916 г Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим... Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум... Но это лишнее, мое мнение что IMG опасны если не фильтровать. Изменено 29 октября 200916 г пользователем BaS Саша
Опубликовано: 29 октября 200916 г ...написав его в блокноте и переименовав в jpg потом загрузив на сайт.Сами вы пробовали это делать? :) 2.3: XSS уязвимость в загрузке файлов изображений ЗЫ. Забыл что раздел для тройки. :) В любом случае, не думаю что в этой версии есть такая дыра в безопасности.
Опубликовано: 30 октября 200916 г Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так, создавали смайл а в нем скрипт при котором когда переходишь на страницу вылезало окошко типа юзер не зарегистрирован или не вошел как пользователь, юзер невпонятках вводил логин и пароль зачастую даже не смотрел что он вошел на сайт и они переходили на сниффер. Так было угноно много порталов... и сам пробовал это делать, правда скрипт не я писал а готовым пользовался...
Опубликовано: 30 октября 200916 г Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим...Скрипт не выполнится. Куда он загрузится, он там просто не запустится на выполнение. Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум...Пишут много. Но сносятся очень мало. Но это лишнее, мое мнение что IMG опасны если не фильтровать.Опять же. О чем речь? О загрузки картинок на хостинг форума или прикрепление удаленого IMG к подписи? Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так,Речь идет же не про юкос. Но в любом случае, не думаю что в этой версии есть такая дыра в безопасности.Тоже не думаю. Они везде в IPB закрыты.
Опубликовано: 30 октября 200916 г А какая разница юкозили не юкоз? Люди ведутся на эту фишку и даже админы, а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом! кому это надо но если задаться целью взломать ресурс то это не сложно. Но факт остается фактом через IMG лосмают как не крути... Тоже не думаю. Они везде в IPB закрыты. Все там открыто и доступно...
Опубликовано: 30 октября 200916 г А какая разница юкозили не юкоз?Большая. Что такое юкоз? Конструктор. Что-то свое, вы туда не поставите. Если вам дали бумажный конструктор, то каменный дом из него, не сделать. Если он разболтан и там дырки, то починить его могут только на том же юкозе. Люди ведутся на эту фишку и даже админы,Пользователи на юкозе, не админы. а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом!Меня два года назад начали ломать по ssh. Подбор нескольку тысяч паролей в день, пока ssh не закрыл файрволом. Достали длинные log файлы, а пароль в 12 символов, подбирать можно долго.Про подбор паролей к логину и внедрения ЯваСкрипта я вообще молчу. На каждом форуме это есть. 90% взломов это бессмысленные взломы. Написать на главной, что взломан хакер Вася и все. Он крутой. кому это надо но если задаться целью взломать ресурс то это не сложно.Сложно. Грамотно настроенный, практически нереально. Свалить, сделать не доступным, легко. Взломать, то есть получить доступ, нет. Но факт остается фактом через IMG лосмают как не крути...Ломают школьников с ворованными или самописными скриптами. И все таки, как можно взломать форум, если на нем стоят все "заплатки" и разрешен в подписи удаленный img? Здесь разрешен. Недругов много. И?
Опубликовано: 30 октября 200916 г Ну допустим стоят все заплатки, СИ - взлом человека, на человека заплатку не поставишь, я видел видео и с парнями этими общался которые убедили службу потдержки что именно они админы сайта...
Опубликовано: 30 октября 200916 г Ломают школьников с ворованными или самописными скриптами. Кстати ломают тоже школьники с выложенным в сеть хаксофтом или указанными ошибками
хотел бы узнать для этой версии !?