Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Общие » О сайте SecurityLab.ru
Страницы: 1
RSS
bug
 
#1
Это нравится:0Да/0Нет
19.10.2004 10:31:32
no comments;))

http://video.antichat.ru/videos/zfailure/webwiz_forums_v77.r ar
 
 
 
#2
Это нравится:0Да/0Нет
19.10.2004 10:38:47
(видео у Michael тащут куку)
 
 
 
#3
Это нравится:0Да/0Нет
19.10.2004 11:11:04
Статья
http://antichat.ru/txt/securitylab/
 
 
 
#4
Это нравится:0Да/0Нет
19.10.2004 20:33:04
Ещё привязку к IP делают. Я нашёл XSS в bitrix, но подстановка куки ничего не дало, вот такое подозрение, что IP дополнительно проверяется.
А какой IDS стоит-то?
 
 
 
#5
Это нравится:0Да/0Нет
22.10.2004 19:43:26
Всем привет. Я щас в Африке, буду только завтра, так что как появлюсь сразу исправлю баг. Вообщето неплохо было бы о нем сообщить разработчикам форума.

Самое правильное решение - в user_code добавлять хеш текущего ИП адреса и проверять его при авторизации в системе. В этом случае кража куки ни к чему не привидет.
 
 
 
#6
Это нравится:0Да/0Нет
22.10.2004 20:02:29
Кстати шелл залить не удастся по многим причинам. Во первых в директориях, в которые можно заливать файлы, запрешен доступ на выполнение сценариев. ВО вторых пользователь, под которым выполняется сайт, имеет доступ только на чтение в Веб каталог и у него отсутстсвует доступ в остальные каталоги. и т.п.
 
 
 
#7
Это нравится:0Да/0Нет
24.10.2004 10:07:22
Цитата
Pig Killer пишет:
Всем привет. Я щас в Африке, буду только завтра, так что как появлюсь сразу исправлю баг. Вообщето неплохо было бы о нем сообщить разработчикам форума.

Самое правильное решение - в user_code добавлять хеш текущего ИП адреса и проверять его при авторизации в системе. В этом случае кража куки ни к чему не привидет.

Такого рода проверку на пакетном уровне можно будет обойти, ИМХО ...
 
 
 
#8
Это нравится:0Да/0Нет
30.01.2005 01:26:52
Да не партесь... все нормально будет поставьте пока хоть какуюто заплатку и напишите разработчику через неделю уже и пачь новій війдет...
 
 
 
#9
Это нравится:0Да/0Нет
31.01.2005 15:01:30
посмотри на даты - это все уже дела давно минувших дней - все уже пофиксино
 
 
 
#10
Это нравится:0Да/0Нет
07.02.2005 12:10:08
Затупил...
 
 
 
Страницы: 1
Читают тему