Дыры в 1.9 или я неудачнег

Гадят на сайт - нужна Ваша помощь!

#1 15 апреля 2012 в 17:41
Столкнулся с проблемой что на сайт релизом 1.9 гадят и гадят очень нагло, но в последние время это уже перебор: кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд, дошло до того что он выкладывает инструкцию как это можно делать:



Я увы не программист и мне сложно понять и закрыть все эти дыры, каюсь что устанавливал разные дополнение, но наверняка Вы это тоже делали.

Кто может помочь, разумеется за деньги решить все это вопросы с дырами и дать сайту жить нормально?
#2 15 апреля 2012 в 18:20
хрена се
#3 15 апреля 2012 в 18:50


А я постоянно схватваю во всех js...

ph3no

С JS у меня все в порядке — проверял каждый файл, прогонял архив антивирусами — 100% чисто все.
#4 15 апреля 2012 в 20:08

Дыры в 1.9 или я неудачнег

Root13
А где собственно дыры то?
#5 15 апреля 2012 в 20:14

А где собственно дыры то?

Fuze
У меня скорее всего в голове, т.к я не выставил правильно chmod. Прошу меня извинить.
#6 15 апреля 2012 в 20:18
Народ вы точно решили убить сайт, второй топик подряд на который орут антивирусы. Думаете яндекса автоматика или гугла не среагирует.
Ну зачем выкладывать куски это хрени в паблик, чем оно поможет. И так понятно что там.
Вас же интересует как это залито, а не на какие проно сайты ведет. glasses
Да и неплохо фильтр прикрутить к форуму, от таких штук в постах.
#7 15 апреля 2012 в 20:30


Народ вы точно решили убить сайт, второй топик подряд на который орут антивирусы. Думаете яндекса автоматика или гугла не среагирует.
Ну зачем выкладывать куски это хрени в паблик, чем оно поможет. И так понятно что там.
Вас же интересует как это залито, а не на какие проно сайты ведет. glasses
Да и неплохо фильтр прикрутить к форуму, от таких штук в постах.

garry

Причем тут вирусы? Я не одного слова про вирусы не написал, у меня на сервере нет шелов и прочей гадости.
Я пытаюсь найти решение где один умный пользователь может просматривать закрытые профили других, читать их ЛС, изменять статусы
и т.д.
#8 15 апреля 2012 в 20:37
Вы тут не причем, просто уже удалили, там была выложена гадость под спойлером в посте ниже.
#9 15 апреля 2012 в 20:42
Root13, это я выложил кусок, вы не причем.
garry, ошибку понял.
#10 15 апреля 2012 в 20:48
Root13, и что это дает, если я узнаю урл? да абсолютно ничего)
Вам еще рано говорить о дырах) хотите я вам такие же фокусы покажу, с практически любой известной cms?
#11 15 апреля 2012 в 20:51
И кто вам сказал что при просмотре исходного кода он сохранит примененные изменения в коде? на практике пробывали?
#12 15 апреля 2012 в 20:59


Root13, и что это дает, если я узнаю урл? да абсолютно ничего)
Вам еще рано говорить о дырах) хотите я вам такие же фокусы покажу, с практически любой известной cms?

Сергей

Именно по этой причине я и скрыл урл, так как он Вам не даст абсолютно ничего.
Можно более подробно почему мне рано говорить о дырах? Врем поздние? Или возрастом не вышел?
Мне фокусы показывать не нужно, не люблю я фокусников и клоунов.
Прочитав мое первое сообщение в теме — Вы поняли суть моего вопроса?
#13 15 апреля 2012 в 21:00


И кто вам сказал что при просмотре исходного кода он сохранит примененные изменения в коде? на практике пробывали?

Сергей

Безусловно он не сохранит изменение в коде, мне это понятно даже как не программисту.
Вопрос совершенно в другом. Внимательнее читайте мои сообщения.
#14 15 апреля 2012 в 21:04
Root13, а что собственно вам мешает?
#15 15 апреля 2012 в 23:35
Почитал, занятно. С закрытыми профилями действия с id в урл прокатывает, некритичные действия. Карму, сообщение отправить, посмотреть посты… Если это для вас критично, попробуйте отписать в багтрекер. Возможно разработчики исправят.

кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд,

Это уже перебор. На такие действия есть проверка и не прокатит. Можете проверить.
По кукисам, это не к Инстанту. Могут стащить куки с любого сайта. Это скорее вопрос локальной безопасности. Прошли те времена, когда лазили с отключенными куками. Простого пользователя проще сбрутить, чем заморачиваться с куками. Юзер ведь он такой, может запросто установить пароль 1234. Только вот что это даст?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.