например очень распостранен NeoWebMail или
| 6.3.2001 18:58 Slach [] Очень прикольная статья... Половина web-mail ящиков... Работает на основе к.л. фриварных компонентов... например очень распостранен NeoWebMail или Horde IMP... Действительно реально работающий способ ;) Ответ DL: Я все удивляюсь, что народ изобретает яваскрипты и апплеты для прослушивания портов, когда все, что нужно взломщику, передается в открытом виде! :) |
| 6.3.2001 20:34 Borman [] Знаю одну систему онлайн магазинов, где всем желающим дают бесплатно открыть в нем свой отдел (на время или вроде того):) Ответ DL: Наверное, думали сделать удобнее покупателям. Но это же бред. :) () |
| 6.3.2001 20:35 Borman [] Если дыра - значит нора, если нора, значит Rabbit :) (VinniPooh) |
| 7.3.2001 11:22 ai а в целом никто даже не представляет, что можно сделать с серверами "ведуших н-ских" провайдеров работающих на фриваре Ответ DL: Не знаю, не знаю. Фривар этот, кажись, массового пользования, да и с деньгами связан. А вот почтовая система у каждого сервиса своя собственная. |
| 10.3.2001 20:09 Constant [] Ну не знаю. Я в свое время ради интереса что-то подобное делал (имеется ввиду защита). Делалось проще, генерился id по IP, паролю и чему-то еще - и во время генерации страницы - этот id сверялся и генерился заново и заносиля в базу. Такой способ был жесток для пользователя (при попытке рефреша он вылетал на логин) - но действовал - пока никто не сломал :)) Ответ DL: В форуме PHPClub обсуждается нечто похожее - я там тоже свой метод предложил. Две куки. В одной логин, в другой - хэш от времени загрузки страницы, хэша пароля и буквы "Ы". Программа лезет в базу, берет запись с таким логином, составляет хэш и сверяет его с полученным из куки. А! О! IP-то не проверяется!!! На hackzone же пишут, что яваскрипт может и куку выкусить. А значит, ее можно передать злоумышленнику. Да, проверку IP надо добавить. :) |
| 11.3.2001 00:00 lev [] НУ И ЧЕГО? Дыра стара как мир! Ответ DL: А я взлом автоматизировал :] Не, я не претендую на первооткрывание этого дела. |
| 18.3.2001 00:04 keeper [] А я пробовал такое но на основе SpyLog - там есть просмотр реферреров, откуда пришли на страничку. Создаем hello world (где-нибудь на народе), втыкаем в него spylog, рассылаем сслыку на страничку по бесплатным e-mail-ам. Потомо смотрим статистику странички. Но это для бедных - кто не хочет возиться с настройкой своего сервака. Ответ DL: Фокус заключается в том, что ящик забирается у пользователя в считанные секунды с момента обращения к "фотке" или нажатия на ссылку. |
table width="100%" cellpadding="0" cellspacing="0" >
Мне по барабану.
Во- первых мой гуард режет Referer
Во-вторых я батом почту беру.
Ответ DL:
Так разговор-то не про Бат :)
| 19.3.2001 04:23 alex [] А что делать, если в базу необходимо писать URL картинки, а потом отображать ее в броузере. И как защититься если под адресом картинки (как www.site.com/image.gif) находиться какой нибудь перл-скрипт или еще что-то? Ответ DL: Держать ID сессий в куках - пусть лучше пользователи их включают, чем потом жалуются на взлом. А иначе никак не защититься - входите, берите, что хотите. |
| 24.3.2001 23:20 fish [] Интересная идея о получении реферра, многие порно сайты, вернее их контент зашишен лишь проверкой рефера, каким образом можно формировать заголовок http запроса с помошью php? это конечно тот еще вопрос, но к зашите имеет отношение :) нужно как уже все наверное поняли для линкования картинок с платников :) Ответ DL: вот как раз об этом - вышел следующий выпуск :) |
| 28.3.2001 18:39 AK [] DL> яваскрипт может и куку выкусить. Как это?! Как я понимаю теорию, куки отдаются только на тот хост, с которого были записаны; т.е. если запрос http://main/index.php, в котором setcookie ('name', 'value'), то далее на обращения к index.php броузер пользователя будет отсылать этот кук. Но если я внутри index.php поставлю картинку с другого хоста (например: http://hacker/image.gif), то броузер не будет отправлять вместе с запросом мой кук, т.к. хост другой. Хорошо, если попытаться вместо image.gif подставить JavaScript, то тоже ничего не получится. Он просто не будет обработан, т.к. броузер по тэгу img ожидает получить картинку, а не текст. Вообще, как JavaScript может выкусить кук другого хоста? Я теряюсь в догадках. Где дырка? :) |
| 6.4.2001 17:01 kostysh [] имхо, лучше хттп-авторизации ничего нет... делал я как-то систему управления пользовательсскими сессиями для одного эл.м., так я там именно ее и использовал для авторизации пользователя, в куках только номер сессии хранил, для пользовательского баскета, а в таком случае, даже если тебе удалось узнать номер сесии, ты все равно в профиль пользователя без пароля не войдешь... вот так |
table width="100%" cellpadding="0" cellspacing="0" >
Прошу прощения, за то, что написано ниже, никого не хотел обидеть, есть один вопрос по существу существует ли шрифт Veranda? Если да, то где его можно взять, спасибо.
Ответ DL:
Стандарнтый шрифт Windows (или MS Office 97), кажется.
table width="100%" cellpadding="0" cellspacing="0" >
Почитай вторую главу генерации запросов, там я про ПОСТ написал
table width="100%" cellpadding="0" cellspacing="0" >
Всем Привет!!!! Хочу узнать все о хакерстве . Помогите!!! и еще жилательно как выгнать не приятеля из чата? Пожалуйста помогите!!!!
Ответ DL:
АЧЁМ БАЗАР, ПОЦАН! КАНЕЧНО ПАМОЖЕМ!
table width="100%" cellpadding="0" cellspacing="0" >
to DJ:
блин, не удобно отзывы читать, когда они в обратном порядке... может лучше будет ORDER BY date ASC ? =))
пока не добрался до последнего, так и не понял, о чем писал Vitaliy =(
Кстати, есть предложение:
в хеадере форума поставить ссылочку на detail - для того чтобы человек, разобравшийся в чем-то мог написать статейку на detail.
Между прочим, если раньше баннер висел, то теперь фиг найдешь хоть ссылку на detail с форума...
С уважением.
Ответ DL:
Сделаю настройку, как на spectator.ru.
table width="100%" cellpadding="0" cellspacing="0" >
Tak vsje taki kak mozhno zaputat' chuzhoi server poslav emu ne tot referer... tak chto li?..
prosto interestno... seichas ne mogu testirovat', internet cafe kak ni kak...
table width="100%" cellpadding="0" cellspacing="0" >
А если у меня прокси и за ним локалка спрятана ?
Ведь тогда под одним IP куча народа - выходит, что первого он впустит, а вот второго...;-(
table width="100%" cellpadding="0" cellspacing="0" >
ИМХО, вместо буквы Ы использовать IP посетителя (вариант forvarded_for, если есть). И подбор затрудняется, и при заходе с др. адреса кого-то с таким хешем в то же время - отлуп.
( У ИЕ есть такая бага - можно получть куку с известным именем даже (!!!) на другом сервере (не на том, кто её дал.))
Ответ DL:
Да, действительно. Так вообще никто не догадается :)
table width="100%" cellpadding="0" cellspacing="0" >
Очень интересно заменились ampersand и param - на знак параграфа и букву m.
Надо что-то в софте поменять, чтобы он как-то поумнее менял entities и не заменял одинарный кавычки и прочие символы на их эквиваленты. Это, конечно, не к статье а так...
А статья мне помогла, спасибо автору.
table width="100%" cellpadding="0" cellspacing="0" >
А не могли бы вы написать пример сокета,каторый меняем порол н-р на 1111111 и отправляет писмо мне о том что почта взломана.
Да и куда его нужно засунуть?
Ответ DL:
Берём программу вроде Proxomitron и смотрим, что уходит наружу. Смотрим мануал по php и узнаём, как отправить то же самое.
table width="100%" cellpadding="0" cellspacing="0" >
Господа, а как организовать авторизацию, если сервер не Апач, а IIS. Запрос на авторизацию функцией header не работает, $PHP_AUTH_USER и PHP_AUTH_PW следовательно тоже. Куки не проканают, т.к. не у всех юзеров они принимаются.
table width="100%" cellpadding="0" cellspacing="0" >
To Dolce:
Бессмыслено! header отдает заголово клиенту на бровзер а не серверу :-). Вот если сформировать запрос в текстовой переменной и заслать через сокет на сервер, то можно прикинуться валенком, который типа тока что со страницы на этом сервере пришел.
table cellpadding="4" cellspacing="0" >
table cellpadding="4" cellspacing="0" >
table width="100%" cellpadding="0" cellspacing="0" >
Масса полезных идей!
А как доступно изложено(и по-русски)!
Спасибо за заботу о нас, чайниках!
table cellpadding="4" cellspacing="0" bgcolor="#e1e1e1">
© , 1999-2002
table cellpadding="4" cellspacing="0" bgcolor="#e1e1e1">
© , 1999-2002
table width="100%" cellpadding="0" cellspacing="0" >
Пример-то дали, да невдалый какой-то, я вот зашел недавно на молодой сайт (www.topis.biz), там написано, что на вопросы отвечают специалисты, точнее, что если они знают, то обязательно помогут и возможно даже с примерами. Я задал там как раз такой вопрос, и мне неплохо ответили и примерчик простой, но рабочий дали. Даже опубликованный - www.topis.biz/examples/.
