Перейти к публикации
Дизайн и модификация IPS Community IPBSkinsBETA
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...
nabaal

Опасно ли [IMG] в подписях

Рекомендованные сообщения

хотел бы узнать для этой версии !?

Поделиться сообщением


Ссылка на сообщение

Вроде нет.

Поделиться сообщением


Ссылка на сообщение

просто я знаю что есть SQL инекции которые при помощи подключали трояны которые воровали пароли с кукисов !!!

Поделиться сообщением


Ссылка на сообщение

Не опасны, но у меня запрещены. И gif файлы в аваторах.

Считаю, что на информативном форуме, это только отвлекает.

Поделиться сообщением


Ссылка на сообщение

У нас разрешены, но народ этим не страдает практически.

Инфу в профиле и подписи заполняют в основном спамеры.

Поделиться сообщением


Ссылка на сообщение

Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.

Поделиться сообщением


Ссылка на сообщение
Точно знаю что опасно, так можно любой вредоносный скрипт внедрить написав его в блокноте и переименовав в jpg потом загрузив на сайт.

Загрузить? Речь идет об удаленном . А потом, загрузите, а дальше?

 

Не стоит на ночь, читать журнал Хакер.

Поделиться сообщением


Ссылка на сообщение
10/29/09 23:00 (изменено)

Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим... Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум... Но это лишнее, мое мнение что IMG опасны если не фильтровать.

Изменено пользователем BaS Саша

Поделиться сообщением


Ссылка на сообщение
...написав его в блокноте и переименовав в jpg потом загрузив на сайт.

Сами вы пробовали это делать? :)

 

2.3: XSS уязвимость в загрузке файлов изображений

 

ЗЫ.

Забыл что раздел для тройки. :)

В любом случае, не думаю что в этой версии есть такая дыра в безопасности.

Поделиться сообщением


Ссылка на сообщение

Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так, создавали смайл а в нем скрипт при котором когда переходишь на страницу вылезало окошко типа юзер не зарегистрирован или не вошел как пользователь, юзер невпонятках вводил логин и пароль зачастую даже не смотрел что он вошел на сайт и они переходили на сниффер. Так было угноно много порталов...

 

и сам пробовал это делать, правда скрипт не я писал а готовым пользовался...

Поделиться сообщением


Ссылка на сообщение
Ну бывает что читаю! ) А дальше скрипт выполнится и на сниффер придет пароль допустим...

Скрипт не выполнится. Куда он загрузится, он там просто не запустится на выполнение.

 

Да и в сети полно хак ресурсов где так все рассписано что любой кто захочет может снести сайт или форум...

Пишут много. Но сносятся очень мало.

 

Но это лишнее, мое мнение что IMG опасны если не фильтровать.

Опять же. О чем речь? О загрузки картинок на хостинг форума или прикрепление удаленого IMG к подписи?

 

Приходится, а дальше ну вот пример атаки. Раньше когда на юкосе было разрешено вставка IMG делали так,

Речь идет же не про юкос.

 

Но в любом случае, не думаю что в этой версии есть такая дыра в безопасности.

Тоже не думаю. Они везде в IPB закрыты.

Поделиться сообщением


Ссылка на сообщение

А какая разница юкозили не юкоз? Люди ведутся на эту фишку и даже админы, а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом! кому это надо но если задаться целью взломать ресурс то это не сложно. Но факт остается фактом через IMG лосмают как не крути...

 

Тоже не думаю. Они везде в IPB закрыты.

 

Все там открыто и доступно...

Поделиться сообщением


Ссылка на сообщение
А какая разница юкозили не юкоз?

Большая. Что такое юкоз? Конструктор. Что-то свое, вы туда не поставите.

Если вам дали бумажный конструктор, то каменный дом из него, не сделать. Если он разболтан и там дырки, то починить его могут только на том же юкозе.

 

Люди ведутся на эту фишку и даже админы,

Пользователи на юкозе, не админы.

 

а не ломается потому что ну есть сайт кому он нужен что с него поиметь? безсмысленный взлом!

Меня два года назад начали ломать по ssh. Подбор нескольку тысяч паролей в день, пока ssh не закрыл файрволом. Достали длинные log файлы, а пароль в 12 символов, подбирать можно долго.

Про подбор паролей к логину и внедрения ЯваСкрипта я вообще молчу. На каждом форуме это есть. 90% взломов это бессмысленные взломы. Написать на главной, что взломан хакер Вася и все. Он крутой.

 

кому это надо но если задаться целью взломать ресурс то это не сложно.

Сложно. Грамотно настроенный, практически нереально. Свалить, сделать не доступным, легко. Взломать, то есть получить доступ, нет.

 

Но факт остается фактом через IMG лосмают как не крути...

Ломают школьников с ворованными или самописными скриптами.

 

И все таки, как можно взломать форум, если на нем стоят все "заплатки" и разрешен в подписи удаленный img?

Здесь разрешен. Недругов много. И?

Поделиться сообщением


Ссылка на сообщение

Ну допустим стоят все заплатки, СИ - взлом человека, на человека заплатку не поставишь, я видел видео и с парнями этими общался которые убедили службу потдержки что именно они админы сайта...

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...