Активные XSS

 
Посетитель
no avatar
Медаль
Сообщений: 109
См видео: http://screencast.com/t/8QcIHooBwKr
При создании публикации в поле Анонса вводился код: 1</tехtаrеа>1<sсrірt >prompt(943730)</sсrірt>
который потом выполняется на многих страницах сайта.

См видео: http://screencast.com/t/T7xR3ldyMkIb
В поле Название публикации вводился код: Cats and humans " onmouseover=prompt(961444) bad="
который потом выполняется при редактировании публикации.
www.cartica.ru - автомобильное издание. Последние новости авторынка, авто-обзоры, тест-драйвы, самая актуальная информация!
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 754
Давайте с постфактум? Очень влиятельные пользователи (с-0-0) некоторый раз пытаються разоблачить преступные намерияния хакеров, взломать инстант!
Scarnru:
См видео: http://screencast.com/t/8QcIHooBwKr При создании публикации в поле Анонса вводился код: 1</tехtаrеа>1<sсrірt >prompt(943730)</sсrірt> который потом выполняется на многих страницах сайта.
ТЫ САМ ТО ПРОБОВАЛ? Ты осознаеш о чем речь? Ты тупо срисовал инфо попавшееся подруку , докажи фактами, или делетанство не позволяет.
То что ты написал , бред и не более.
ЛАДНО докажешь!Дак плиз не афишировать , ты гений по взлому чтоли? Ты разработчикам отпиши.

PS .
999 дней ни одного взлома из 34 проэктов.
Реклама
cms
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 754
Лучше основам PHP учиться, чем прогонами заниматься!
Знания что есть активная - пассивная xss не помешают.Это как разница между блондинкой и брюнеткой.
Если и есть бока в h t t p://instanter.ru/ то пусть они будут примером -КАК НЕ НАДО КОНФИРУГИРОВАТЬ САЙТ!
PS/
/instanter.ru/ эта тема причем к безопастности- И СУТИ инстанта?
Да.. что там делают извратного , это их личное дело.Зачем подсматриваеш?
Редактировалось: 2 раз (Последний: 10 октября 2012 в 21:41)
Посетитель
no avatar
Медаль
Сообщений: 109
я не тестер и не программер, я Заказчик
мне тестеры прислали (которые уже нашли более 200 багов в проекте который мне делают на инстанте), я залил сюда. т.к. я только за,если инстатн будет совершенствоваться.
www.cartica.ru - автомобильное издание. Последние новости авторынка, авто-обзоры, тест-драйвы, самая актуальная информация!
Посетитель
no avatar
Медаль
Сообщений: 109
PS .
999 дней ни одного взлома из 34 проэктов.

значит они никому не нужны smile
мне тестеры нашли баг который ломает (логины и пароли все юзеров), даже один из сайтов в http://www.cmsmagazine.ru/catalogue/instantcms/works/ проверил, и все ок, пароли есть )) за что кто-то из местных админов бесплатно дал лицензию на биллинг )

да и тут я писал что нашли баг и http://instantcms.ru/forum/thread11949.html#99166 и вроде народу пригодилось...
я спорить не буду, мне пох на чьето там мнение, кому надо, проверят, может пригодится

и видел там народ на поиск багов скидывается, я уже потратил половину той суммы что там собирается на поиск багов, просто как совет, когда соберете заказывайте на спец сайтах, типа fixber и ему подобных, а не у 2-3 тестеров, т.к. 2-3 чела, это ниочем

PS
чей это баг, движка или моих прогеров, вам виднее
www.cartica.ru - автомобильное издание. Последние новости авторынка, авто-обзоры, тест-драйвы, самая актуальная информация!
Посетитель
small user social cms
Медаль
Сообщений: 627
Scarnru:
я не тестер и не программер, я Заказчик
Заказчик который знает "ВСЕ" О багах. Не смеши людей. Обратись к тем у кого заказывал, может там что интересного найдеш?
Проверка траста и спама с донорских сайтов.
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 531
Вроде собирают на тест безопастности.
Я конечно извиняюсь, но , парни
oll , scarnru
Вы по сути оба правы.
Не приятно иметь уязвимый двиг, хотя бы потому, что есть много высококонкурентных тем и соответственно опастность для сайта.
Oll:
ТЫ САМ ТО ПРОБОВАЛ? Ты осознаеш о чем речь? Ты тупо срисовал инфо попавшееся подруку , докажи фактами, или делетанство не позволяет.
Я пробовал. Успешно.Ессно не покажу никому. Дальше что?
Но и не нужно с пеной у рта доказывать то, чего не знаете.
Clear:
Заказчик который знает "ВСЕ" О багах. Не смеши людей. Обратись к тем у кого заказывал, может там что интересного найдеш?
Всё знать невозможно, но возможно совместными усилиями (я надеюсь в здравом сообществе) не опустить изначально
ХОРОШИЙ проект .
Для тех кто не понял:
Взломать можно всё. Но нужно свести к минимуму.
Редактировалось: 3 раз (Последний: 11 октября 2012 в 04:38)
Посетитель
small user social cms
Сообщений: 58
Scarnru:
и видел там народ на поиск багов скидывается, я уже потратил половину той суммы что там собирается на поиск багов,
Вы платите за эти баги?) Я могу тоже протестить) за деньги))
Редактировалось: 1 раз (Последний: 11 октября 2012 в 02:46)
Посетитель
small user social cms
Медаль
Сообщений: 702
oll, такой глупый. Если тебя еще не взламывали, это не значит что ты мегоумен. Все дело случая, просто твои сайты никому не нужны, у самого 4 сайта на инстанте, минимум стандартных модулей, так вот, ИМ нен составляет труда залить шелл на хостинг, и спамить с сервера. Сайт твой по сути никому не нужен, им нужен сервер, с которого можно делать вещи
Знающий человек зная дырку, а это дырка, этим воспользуется.
Посетитель
small user social cms
Медаль
Сообщений: 473
Scarnru:
мне тестеры нашли баг который ломает (логины и пароли все юзеров), даже один из сайтов в http://www.cmsmagazine.ru/catalogue/instantcms/works/ проверил, и все ок, пароли есть )) за что кто-то из местных админов бесплатно дал лицензию на биллинг )

да и тут я писал что нашли баг и http://instantcms.ru/forum/thread11949.html#99166 и вроде народу пригодилось...
я спорить не буду, мне пох на чьето там мнение, кому надо, проверят, может пригодится

и видел там народ на поиск багов скидывается, я уже потратил половину той суммы что там собирается на поиск багов, просто как совет, когда соберете заказывайте на спец сайтах, типа fixber и ему подобных, а не у 2-3 тестеров, т.к. 2-3 чела, это ниочем

PS
чей это баг, движка или моих прогеров, вам виднее

Вот есть что то знакомое в Ваших словах, то ли интонация, то ли , ну где то я уже это слышал, наверно когда человек заявлял что он написал инстантмапс, видео, сделал интеграцию с юцентром, яндекспочтой, с 2GIS, сделал шаблоны (те что Дезирета) нет ? я ошибаюсь ? что то мне это все напоминает попытку навести шмон в момент когда админы заняты.

trOid:
oll, такой глупый. Если тебя еще не взламывали, это не значит что ты мегоумен. Все дело случая, просто твои сайты никому не нужны, у самого 4 сайта на инстанте, минимум стандартных модулей, так вот, ИМ нен составляет труда залить шелл на хостинг, и спамить с сервера. Сайт твой по сути никому не нужен, им нужен сервер, с которого можно делать вещи
Знающий человек зная дырку, а это дырка, этим воспользуется.
Вы с Scarnru вместе пиво пьете ? корешуете ?

Scarnru:
я залил сюда. т.к. я только за,если инстатн будет совершенствоваться.
Что то не вяжется. Говорите за совершенство и при этом опускаете инстант, бедный админ взломанного сайта второй день не может вернуть контроль за сайтом, ведь весит же надписи не по теме и это при том что домен на нем, доказать право владения ну ни как да. А был ли мальчик ?

Scarnru:
которые уже нашли более 200 багов в проекте который мне делают на инстанте)
В инстанте компонентов с 40, да, это по 5 багов на компонент...короче пять школьников могут взломать сайт одновременно laugh
Если тебе роют яму - не мешай, закончат - сделаешь себе бассейн.
Посетитель
no avatar
Медаль
Сообщений: 109
а почему вы думаете что все 200 багов движка, кроме багов движка, есть и другие..
Кому интересно:
Спойлер
Редактировалось: 1 раз (Последний: 11 октября 2012 в 10:47)
www.cartica.ru - автомобильное издание. Последние новости авторынка, авто-обзоры, тест-драйвы, самая актуальная информация!
Посетитель
no avatar
Медаль
Сообщений: 109
ссылки на видео и подробное описание,слишком геморой собрать... хотя, за часть собираемой суммы на тестирование багов, попрошу чтобы красиво все оформили))) надо же как-то возвращать свои вложения, кстати багов 230 а не 200
www.cartica.ru - автомобильное издание. Последние новости авторынка, авто-обзоры, тест-драйвы, самая актуальная информация!
InstantCMS Team
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1344
Scarnru, вы занимаетесь откровенной ерундой


Вёрстка формы авторизации пользователя
Выделение таблички выходит за границы формы
Не загружаются файлы на аватар
За скачивание не дают деньги владельцам публикации
Скачивания. Отсутствует информация о публикации
Не видно полностью всё, что будет печататься

и такого бреда 99% из этого списка
не смешивайте пожалуйста ваши "баги", с багами движка

прежде чем вводить людей в заблуждение - проверяйте все на чистой установке последней версии InstantCMS, а не на собственной, переделанной вдоль и поперек
Редактировалось: 1 раз (Последний: 11 октября 2012 в 10:58)
Посетитель
small user social cms
Медаль
Сообщений: 702
Коля, я этого чувака впервые вижу.
кто нибудь занялся и добавил самое важное из списка в багтрек
если это было бы все исправлено - было бы отлично + движку...
люди помогают и ищут баги, а вы тут стрете
Редактировалось: 1 раз (Последний: 11 октября 2012 в 11:21)
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 555
Scarnru, найдите нормального программиста - настроит и допишет вам сайт как надо. У вас, действительно, 90% "багов" из-за кривых рук того, кто верстал/устанавливал шаблон, настраивал сайт. А под ваши требования можно и хорошо допилить то, что есть изначально..

Это дешевле обойдется, чем армия тестеров для поиска "багов".
оптимизирую помаленьку
В начало страницы
Предыдущая темаСледующая тема Перейти на форум: