RealUser
-
Постов
1007 -
Зарегистрирован
-
Посещение
-
Победитель дней
9
Активность репутации
-
-
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
Fedya, Это же не проблема с безопасностью) Да за upload.php спасибо, забыл. Вот обновите кто ставил.
WM-CHAT 1.3.rar
-
RealUser отреагировална пост lg29 в ibProArcade 4.0.5 Rus
Не знаю почему, но не у одного меня не получалось зарегистрироваться.
Спасибо.
-
-
RealUser отреагировална пост Insider в Ошибка при переходе в подфорум
проверьте еще раз все настройки.
-
RealUser отреагировална пост WOLF в [Соц.опрос]Считаете ли вы меня школьником?
По результатам опроса, ТС объявлен школьником
-
RealUser отреагировална пост lg29 в Услуги по вертске/доработке шаблонов
С рекламой наружней работаете?
А как же за отзыв?
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
zhenyasim, спасибо, буду капать дальше.
-
RealUser отреагировална пост zhenyasim в Чат для администраторов
Kylaksizov, очень хорошо.)
Ладно. Завтра еще XSS поищу. Развивайтесь дальше.
-
RealUser отреагировална пост zhenyasim в Чат для администраторов
Kylaksizov, SQL иньекций не нашел я.
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
RealUser, да я уверен, что он просто имет доступ к твоему фтп. Я сомневаюсь, что он взломал. Или может конфиг как-то нашёл у тебя. Как видишь он уже не пишет в чат, значит он в обломе. Проверок там при достаточно. Но все равно я улучшу систему безопасности. Просто не так всё быстро, тем более меня тоже проект ждёт а я тут играюсь всё.
-
RealUser получил реакцию от Kylaksizov в Чат для администраторов
Kylaksizov, про Федины проделки может тоже спросишь?
-
RealUser отреагировална пост zhenyasim в Чат для администраторов
Kylaksizov, нет. Именно фильтрацию.
Пример кода. Переделаете под себя:
class XssFilter extends CFilter { public $clean = 'all'; protected function preFilter($filterChain) { $this->clean = trim(strtoupper($this->clean)); $data = array( 'GET' => &$_GET, 'POST' => &$_POST, 'COOKIE' => &$_COOKIE, 'FILES' => &$_FILES ); if($this->clean === 'ALL' || $this->clean === '*') { $this->clean = 'GET,POST,COOKIE,FILES'; } $dataForClean = split(',',$this->clean); if(count($dataForClean)) { foreach ($dataForClean as $key => $value) { if(isset ($data[$value]) && count($data[$value])) { $this->doXssClean($data[$value]); } } } return true; } protected function postFilter($filterChain) { // logic being applied after the action is executed } private function doXssClean(&$data) { if(is_array($data) && count($data)) { foreach($data as $k => $v) { $data[$k] = $this->doXssClean($v); } return $data; } if(trim($data) === '') { return $data; } // xss $data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data); $data = preg_replace('/(&#*w+)[x00-x20]+;/u', '$1;', $data); $data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data); $data = html_entity_decode($data, ENT_COMPAT, 'UTF-8'); // Remove any attribute starting with "on" or xmlns $data = preg_replace('#(<[^>]+?[x00-x20"'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data); // Remove javascript: and vbscript: protocols $data = preg_replace('#([a-z]*)[x00-x20]*=[x00-x20]*([`'"]*)[x00-x20]*j[x00-x20]*a[x00-x20]*v[x00-x20]*a[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu', '$1=$2nojavascript...', $data); $data = preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*v[x00-x20]*b[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu', '$1=$2novbscript...', $data); $data = preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*-moz-binding[x00-x20]*:#u', '$1=$2nomozbinding...', $data); // Only works in IE: <span style="width: expression(alert('Ping!'));"></span> $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?expression[x00-x20]*([^>]*+>#i', '$1>', $data); $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?behaviour[x00-x20]*([^>]*+>#i', '$1>', $data); $data = preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:*[^>]*+>#iu', '$1>', $data); // Remove namespaced elements (we do not need them) $data = preg_replace('#</*w+:w[^>]*+>#i', '', $data); do { // Remove really unwanted tags $old_data = $data; $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data); } while ($old_data !== $data); return $data; } } ?>
Дальше я уже завтра поищу уязвимости.
-
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
Fedya, Молодец. Только мне интересно, почему ты только с его логина пишешь, меня сможешь взломать?
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
У меня просьба к профессионалам php. Попытайтесь взломать чей-то аккаунт в чате, или что нибудь натворить. Мне нужно знать как работает безопасность.
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
Свежая версия, где улучшена система безопасности.
WM-CHAT 1.2.rar
-
RealUser отреагировална пост Mattko в [Соц.опрос]Считаете ли вы меня школьником?
О боже, зачем я сюда зашел? Ответ дан Вам от WOLF.
-
RealUser отреагировална пост KitsuneSolar в [Соц.опрос]Считаете ли вы меня школьником?
RealUser, моё мнение ты знаешь. И знаешь за что я проголосовал
-
RealUser отреагировална пост KitsuneSolar в [Соц.опрос]Считаете ли вы меня школьником?
RealUser, не, ты не только узнал сейчас, но и знал даже без этого опроса
-
RealUser отреагировална пост SoundMonster в [Соц.опрос]Считаете ли вы меня школьником?
Бредовая тема, я тут недавно, не сказал бы, что ты школьник.Но подобные темы заставляют задуматься
-
RealUser отреагировална пост Kylaksizov в Чат для администраторов
LvsF, я додуплил, что ты, только меня интересует зачем пишешь ненужное? Если критикуешь, то я только за, что б знать и улучшить.
-
-