nabaal 3 08/23/09 17:29 просто я знаю что есть SQL инекции которые при помощи подключали трояны которые воровали пароли с кукисов !!! Поделиться сообщением Ссылка на сообщение
Ph-A 395 08/23/09 17:32 Не опасны, но у меня запрещены. И gif файлы в аваторах. Считаю, что на информативном форуме, это только отвлекает. Поделиться сообщением Ссылка на сообщение
Fisana 700 08/23/09 17:59 У нас разрешены, но народ этим не страдает практически.Инфу в профиле и подписи заполняют в основном спамеры. Поделиться сообщением Ссылка на сообщение
BaS Саша 0 10/29/09 19:24 Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт. Поделиться сообщением Ссылка на сообщение
Ph-A 395 10/29/09 20:51 Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.Загрузить? Речь идет об удаленном . А потом, загрузите, а дальше? Не стоит на ночь, читать журнал Хакер. Поделиться сообщением Ссылка на сообщение
BaS Саша 0 10/29/09 23:00 (изменено) Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим... Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум... Но это лишнее, мое мнение что IMG опасны если не фильтровать. Изменено 29 октября 2009 пользователем BaS Саша Поделиться сообщением Ссылка на сообщение
siv1987 2628 10/29/09 23:26 ...написав его в блокноте и переименовав в jpg потом загрузив на сайт.Сами вы пробовали это делать? :) 2.3: XSS уязвимость в загрузке файлов изображений ЗЫ. Забыл что раздел для тройки. :) В любом случае, не думаю что в этой версии есть такая дыра в безопасности. Поделиться сообщением Ссылка на сообщение
BaS Саша 0 10/30/09 02:48 Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так, создавали смайл а в нем скрипт при котором когда переходишь на страницу вылезало окошко типа юзер не зарегистрирован или не вошел как пользователь, юзер невпонятках вводил логин и пароль зачастую даже не смотрел что он вошел на сайт и они переходили на сниффер. Так было угноно много порталов... и сам пробовал это делать, правда скрипт не я писал а готовым пользовался... Поделиться сообщением Ссылка на сообщение
Ph-A 395 10/30/09 08:01 Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим...Скрипт не выполнится. Куда он загрузится, он там просто не запустится на выполнение. Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум...Пишут много. Но сносятся очень мало. Но это лишнее, мое мнение что IMG опасны если не фильтровать.Опять же. О чем речь? О загрузки картинок на хостинг форума или прикрепление удаленого IMG к подписи? Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так,Речь идет же не про юкос. Но в любом случае, не думаю что в этой версии есть такая дыра в безопасности.Тоже не думаю. Они везде в IPB закрыты. Поделиться сообщением Ссылка на сообщение
BaS Саша 0 10/30/09 08:27 А какая разница юкозили не юкоз? Люди ведутся на эту фишку и даже админы, а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом! кому это надо но если задаться целью взломать ресурс то это не сложно. Но факт остается фактом через IMG лосмают как не крути... Тоже не думаю. Они везде в IPB закрыты. Все там открыто и доступно... Поделиться сообщением Ссылка на сообщение
Ph-A 395 10/30/09 09:35 А какая разница юкозили не юкоз?Большая. Что такое юкоз? Конструктор. Что-то свое, вы туда не поставите. Если вам дали бумажный конструктор, то каменный дом из него, не сделать. Если он разболтан и там дырки, то починить его могут только на том же юкозе. Люди ведутся на эту фишку и даже админы,Пользователи на юкозе, не админы. а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом!Меня два года назад начали ломать по ssh. Подбор нескольку тысяч паролей в день, пока ssh не закрыл файрволом. Достали длинные log файлы, а пароль в 12 символов, подбирать можно долго.Про подбор паролей к логину и внедрения ЯваСкрипта я вообще молчу. На каждом форуме это есть. 90% взломов это бессмысленные взломы. Написать на главной, что взломан хакер Вася и все. Он крутой. кому это надо но если задаться целью взломать ресурс то это не сложно.Сложно. Грамотно настроенный, практически нереально. Свалить, сделать не доступным, легко. Взломать, то есть получить доступ, нет. Но факт остается фактом через IMG лосмают как не крути...Ломают школьников с ворованными или самописными скриптами. И все таки, как можно взломать форум, если на нем стоят все "заплатки" и разрешен в подписи удаленный img? Здесь разрешен. Недругов много. И? Поделиться сообщением Ссылка на сообщение
BaS Саша 0 10/30/09 09:41 Ну допустим стоят все заплатки, СИ - взлом человека, на человека заплатку не поставишь, я видел видео и с парнями этими общался которые убедили службу потдержки что именно они админы сайта... Поделиться сообщением Ссылка на сообщение
