Вход на сайт
Простота и безопасность
NEW 21.12.12 19:52
И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.
в ответ Vovan(ator) 21.12.12 19:39
В ответ на:
И я тоже про это.
Как я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.
И я тоже про это.
Как я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.
И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.
вполяне - жизнь в лесу
21.12.12 19:56
Нет ничего серьёзней форматирования - но попробуйте запустить эту простую команду
в ответ Vovan(ator) 21.12.12 19:39
В ответ на:
ак я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.
ак я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.
Нет ничего серьёзней форматирования - но попробуйте запустить эту простую команду
Половина евро в час
NEW 21.12.12 20:01
в ответ helper2008 21.12.12 19:54
Далёкий 2003:
// запрет тегов переданных методом Get, а чё Post-том можно?
foreach ($_GET as $sec_key => $secvalue) {
if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*img*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*over*\"?[^>]*>", $secvalue)) ||
(eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
(eregi("\"", $secvalue)) ||
(eregi("forum_admin", $sec_key)) ||
(eregi("inside_mod", $sec_key))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
}
//--------------------------------------------------------------------------
// А вот и POST. А почему мало. Ведь кроме over есть ещё и
foreach ($_POST as $secvalue) {
if ((eregi("<[^>]*over*\"?[^>]*>", $secvalue)) || (eregi("<[^>]script*\"?[^>]*>", $secvalue)) || (eregi("<[^>]style*\"?[^>]*>", $secvalue))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
//Это я написал http://chajnik.ru
$u='((<a)|(\[url))';
//$u='<a';
if(
preg_match("/$u.*$u/is", $secvalue)
or preg_match("/viagra/i", $secvalue)
or preg_match("/good site/i", $secvalue)
or preg_match("/Nice site/i", $secvalue)
or preg_match("/great site/i", $secvalue)
or preg_match("/Cool site. Thank/i", $secvalue)
){header("Location: index.php"); die();}
//Конец моей писанины
}
// запрет тегов переданных методом Get, а чё Post-том можно?
foreach ($_GET as $sec_key => $secvalue) {
if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*img*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*over*\"?[^>]*>", $secvalue)) ||
(eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
(eregi("\"", $secvalue)) ||
(eregi("forum_admin", $sec_key)) ||
(eregi("inside_mod", $sec_key))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
}
//--------------------------------------------------------------------------
// А вот и POST. А почему мало. Ведь кроме over есть ещё и
foreach ($_POST as $secvalue) {
if ((eregi("<[^>]*over*\"?[^>]*>", $secvalue)) || (eregi("<[^>]script*\"?[^>]*>", $secvalue)) || (eregi("<[^>]style*\"?[^>]*>", $secvalue))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
//Это я написал http://chajnik.ru
$u='((<a)|(\[url))';
//$u='<a';
if(
preg_match("/$u.*$u/is", $secvalue)
or preg_match("/viagra/i", $secvalue)
or preg_match("/good site/i", $secvalue)
or preg_match("/Nice site/i", $secvalue)
or preg_match("/great site/i", $secvalue)
or preg_match("/Cool site. Thank/i", $secvalue)
){header("Location: index.php"); die();}
//Конец моей писанины
}
Половина евро в час
NEW 21.12.12 20:11
voxel3d надо было ещё и "задний проход" оставить :-) это быстро отрезвляет от самоуверенности и заставляет немного поучиться.
К стати даже на германке есть проблемки с уязвимостями.
В ответ на:
Мы поспорили о том, что постньюк дырявый
Мы поспорили о том, что постньюк дырявый
voxel3d надо было ещё и "задний проход" оставить :-) это быстро отрезвляет от самоуверенности и заставляет немного поучиться.
К стати даже на германке есть проблемки с уязвимостями.
NEW 21.12.12 20:19
чтобы избежать ХСС атаки хватает одной функции htmlspecialchars 
Я начинал с изучения взломов, потом перешел на программирование) Очень полезно, когда знаешь, что нужно закрыть )
чтобы избежать ХСС атаки хватает одной функции htmlspecialchars Я начинал с изучения взломов, потом перешел на программирование) Очень полезно, когда знаешь, что нужно закрыть )
Более 500 каналов !
NEW 21.12.12 20:23
Ну гостевые или блоги и содержат эти формы и в большинстве случаев всё появляется на сатйте без редактирования админом.
А автоматическую обработку содержания делают далеко не все.
в ответ helper2008 21.12.12 19:52
В ответ на:
И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.
И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.
Ну гостевые или блоги и содержат эти формы и в большинстве случаев всё появляется на сатйте без редактирования админом.
А автоматическую обработку содержания делают далеко не все.
NEW 21.12.12 20:43
Ну так раз всё так просто - напишите что ни будь интересное у меня на сайте. Только не в гостевой, разумеется :-)
Бред. Пути у меня почти на всех серверах получаются одинаковые. Рассказывать почему так - не буду.
Путь есть. Дело за малым. Узнать Логин и пароль и лучше от интернет банка
В ответ на:
helper2008, так точно, это назваться раскрытие путей.. Когда у хакера есть путь, это облегчает задачу.
helper2008, так точно, это назваться раскрытие путей.. Когда у хакера есть путь, это облегчает задачу.
Бред. Пути у меня почти на всех серверах получаются одинаковые. Рассказывать почему так - не буду.
Путь есть. Дело за малым. Узнать Логин и пароль и лучше от интернет банка
Половина евро в час
NEW 21.12.12 20:53
Реальные вещи - да.
Бред - нет
Бред который грозит судом тому у которого это вдруг получится - бред вдвойне.
И я ничего не спрашивал
В ответ на:
и неХ* спрашивать, если не интересно послушать реальные вещи....
и неХ* спрашивать, если не интересно послушать реальные вещи....
Реальные вещи - да.
Бред - нет
Бред который грозит судом тому у которого это вдруг получится - бред вдвойне.
И я ничего не спрашивал
Половина евро в час