Jump to content
Дизайн и модификация Invision Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
nabaal

Опасно ли [IMG] в подписях

Recommended Posts

хотел бы узнать для этой версии !?

Share this post


Link to post

Вроде нет.

Share this post


Link to post

просто я знаю что есть SQL инекции которые при помощи подключали трояны которые воровали пароли с кукисов !!!

Share this post


Link to post

Не опасны, но у меня запрещены. И gif файлы в аваторах.

Считаю, что на информативном форуме, это только отвлекает.

Share this post


Link to post

У нас разрешены, но народ этим не страдает практически.

Инфу в профиле и подписи заполняют в основном спамеры.

Share this post


Link to post

Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.

Share this post


Link to post
Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.

Загрузить? Речь идет об удаленном . А потом, загрузите, а дальше?

 

Не стоит на ночь, читать журнал Хакер.

Share this post


Link to post

Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим... Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум... Но это лишнее, мое мнение что IMG опасны если не фильтровать.

Edited by BaS Саша

Share this post


Link to post
...написав его в блокноте и переименовав в jpg потом загрузив на сайт.

Сами вы пробовали это делать? :)

 

2.3: XSS уязвимость в загрузке файлов изображений

 

ЗЫ.

Забыл что раздел для тройки. :)

В любом случае, не думаю что в этой версии есть такая дыра в безопасности.

Share this post


Link to post

Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так, создавали смайл а в нем скрипт при котором когда переходишь на страницу вылезало окошко типа юзер не зарегистрирован или не вошел как пользователь, юзер невпонятках вводил логин и пароль зачастую даже не смотрел что он вошел на сайт и они переходили на сниффер. Так было угноно много порталов...

 

и сам пробовал это делать, правда скрипт не я писал а готовым пользовался...

Share this post


Link to post
Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим...

Скрипт не выполнится. Куда он загрузится, он там просто не запустится на выполнение.

 

Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум...

Пишут много. Но сносятся очень мало.

 

Но это лишнее, мое мнение что IMG опасны если не фильтровать.

Опять же. О чем речь? О загрузки картинок на хостинг форума или прикрепление удаленого IMG к подписи?

 

Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так,

Речь идет же не про юкос.

 

Но в любом случае, не думаю что в этой версии есть такая дыра в безопасности.

Тоже не думаю. Они везде в IPB закрыты.

Share this post


Link to post

А какая разница юкозили не юкоз? Люди ведутся на эту фишку и даже админы, а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом! кому это надо но если задаться целью взломать ресурс то это не сложно. Но факт остается фактом через IMG лосмают как не крути...

 

Тоже не думаю. Они везде в IPB закрыты.

 

Все там открыто и доступно...

Share this post


Link to post
А какая разница юкозили не юкоз?

Большая. Что такое юкоз? Конструктор. Что-то свое, вы туда не поставите.

Если вам дали бумажный конструктор, то каменный дом из него, не сделать. Если он разболтан и там дырки, то починить его могут только на том же юкозе.

 

Люди ведутся на эту фишку и даже админы,

Пользователи на юкозе, не админы.

 

а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом!

Меня два года назад начали ломать по ssh. Подбор нескольку тысяч паролей в день, пока ssh не закрыл файрволом. Достали длинные log файлы, а пароль в 12 символов, подбирать можно долго.

Про подбор паролей к логину и внедрения ЯваСкрипта я вообще молчу. На каждом форуме это есть. 90% взломов это бессмысленные взломы. Написать на главной, что взломан хакер Вася и все. Он крутой.

 

кому это надо но если задаться целью взломать ресурс то это не сложно.

Сложно. Грамотно настроенный, практически нереально. Свалить, сделать не доступным, легко. Взломать, то есть получить доступ, нет.

 

Но факт остается фактом через IMG лосмают как не крути...

Ломают школьников с ворованными или самописными скриптами.

 

И все таки, как можно взломать форум, если на нем стоят все "заплатки" и разрешен в подписи удаленный img?

Здесь разрешен. Недругов много. И?

Share this post


Link to post

Ну допустим стоят все заплатки, СИ - взлом человека, на человека заплатку не поставишь, я видел видео и с парнями этими общался которые убедили службу потдержки что именно они админы сайта...

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...