nabaal 3 08/23/2009 05:29 PM просто я знаю что есть SQL инекции которые при помощи подключали трояны которые воровали пароли с кукисов !!! Share this post Link to post
Ph-A 395 08/23/2009 05:32 PM Не опасны, но у меня запрещены. И gif файлы в аваторах. Считаю, что на информативном форуме, это только отвлекает. Share this post Link to post
Fisana 700 08/23/2009 05:59 PM У нас разрешены, но народ этим не страдает практически.Инфу в профиле и подписи заполняют в основном спамеры. Share this post Link to post
BaS Саша 0 10/29/2009 07:24 PM Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт. Share this post Link to post
Ph-A 395 10/29/2009 08:51 PM Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.Загрузить? Речь идет об удаленном . А потом, загрузите, а дальше? Не стоит на ночь, читать журнал Хакер. Share this post Link to post
BaS Саша 0 10/29/2009 11:00 PM (edited) Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим... Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум... Но это лишнее, мое мнение что IMG опасны если не фильтровать. Edited October 29, 2009 by BaS Саша Share this post Link to post
siv1987 2,630 10/29/2009 11:26 PM ...написав его в блокноте и переименовав в jpg потом загрузив на сайт.Сами вы пробовали это делать? :) 2.3: XSS уязвимость в загрузке файлов изображений ЗЫ. Забыл что раздел для тройки. :) В любом случае, не думаю что в этой версии есть такая дыра в безопасности. Share this post Link to post
BaS Саша 0 10/30/2009 02:48 AM Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так, создавали смайл а в нем скрипт при котором когда переходишь на страницу вылезало окошко типа юзер не зарегистрирован или не вошел как пользователь, юзер невпонятках вводил логин и пароль зачастую даже не смотрел что он вошел на сайт и они переходили на сниффер. Так было угноно много порталов... и сам пробовал это делать, правда скрипт не я писал а готовым пользовался... Share this post Link to post
Ph-A 395 10/30/2009 08:01 AM Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим...Скрипт не выполнится. Куда он загрузится, он там просто не запустится на выполнение. Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум...Пишут много. Но сносятся очень мало. Но это лишнее, мое мнение что IMG опасны если не фильтровать.Опять же. О чем речь? О загрузки картинок на хостинг форума или прикрепление удаленого IMG к подписи? Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так,Речь идет же не про юкос. Но в любом случае, не думаю что в этой версии есть такая дыра в безопасности.Тоже не думаю. Они везде в IPB закрыты. Share this post Link to post
BaS Саша 0 10/30/2009 08:27 AM А какая разница юкозили не юкоз? Люди ведутся на эту фишку и даже админы, а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом! кому это надо но если задаться целью взломать ресурс то это не сложно. Но факт остается фактом через IMG лосмают как не крути... Тоже не думаю. Они везде в IPB закрыты. Все там открыто и доступно... Share this post Link to post
Ph-A 395 10/30/2009 09:35 AM А какая разница юкозили не юкоз?Большая. Что такое юкоз? Конструктор. Что-то свое, вы туда не поставите. Если вам дали бумажный конструктор, то каменный дом из него, не сделать. Если он разболтан и там дырки, то починить его могут только на том же юкозе. Люди ведутся на эту фишку и даже админы,Пользователи на юкозе, не админы. а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом!Меня два года назад начали ломать по ssh. Подбор нескольку тысяч паролей в день, пока ssh не закрыл файрволом. Достали длинные log файлы, а пароль в 12 символов, подбирать можно долго.Про подбор паролей к логину и внедрения ЯваСкрипта я вообще молчу. На каждом форуме это есть. 90% взломов это бессмысленные взломы. Написать на главной, что взломан хакер Вася и все. Он крутой. кому это надо но если задаться целью взломать ресурс то это не сложно.Сложно. Грамотно настроенный, практически нереально. Свалить, сделать не доступным, легко. Взломать, то есть получить доступ, нет. Но факт остается фактом через IMG лосмают как не крути...Ломают школьников с ворованными или самописными скриптами. И все таки, как можно взломать форум, если на нем стоят все "заплатки" и разрешен в подписи удаленный img? Здесь разрешен. Недругов много. И? Share this post Link to post
BaS Саша 0 10/30/2009 09:41 AM Ну допустим стоят все заплатки, СИ - взлом человека, на человека заплатку не поставишь, я видел видео и с парнями этими общался которые убедили службу потдержки что именно они админы сайта... Share this post Link to post
