ExBB Community » » Уязвимости » Cross Site Request Forgery

Страниц (5): « 1 [2] 3 4 5 »
 

16. Перегарыч - 20 августа 2011 — 08:10 - перейти к сообщению
Ссылки убрал то что доказал BON, что уязвимость еще есть, забрал его тестовый аккаунт.

yura3d, если честно проверял. Со сниффера был отчет о посещение, только кем? Не в ЛС я выложил ссылку а в теме и каждый мог перейти. Поэтому пытался зайти под теми кто в онлайн.

Смотрите хотел, как лучше а вы не понимаете что подвергаете до сих пор все форумы опасности. Предупредил перед видео что есть уязвимость у Вас, предупредил. А то что Вы не в состоянии исправить вина не моя. Хотите можем и с Вами потестить.
17. yura3d - 20 августа 2011 — 08:11 - перейти к сообщению
Перегарыч пишет:
Вы не в состоянии исправить вина не моя. Хотите можем и Вами потестить.

Давайте потестим
18. Перегарыч - 20 августа 2011 — 08:12 - перейти к сообщению
Подождите подготовлю и в этой теме добавлю ссылку.

Как будите на этой странице, выходите с акка и снова попробуйте зайти.
19. yura3d - 20 августа 2011 — 08:19 - перейти к сообщению
Перегарыч пишет:
Как будите на этой странице, выходите с акка и снова попробуйте зайти.

Ну так сами попробуйте перейти
Редактирование профиля не получится
20. Перегарыч - 20 августа 2011 — 08:22 - перейти к сообщению
Уже исправили и пишем, вчера этого не было. "Корректным способом", не уверяйте что давно исправлено.
21. yura3d - 20 августа 2011 — 08:35 - перейти к сообщению
Перегарыч пишет:
Уже исправили и пишем, вчера этого не было. "Корректным способом", не уверяйте что давно исправлено.

Ну я же выше написал:
yura3d пишет:
До сегодняшнего дня у меня не было возможности установить заплатку на этом форуме

У меня не было доступа к FTP этого сайта, появился он только сегодня утром. Для других форумов на базе ExBB заплатку я выложил в тот же день, как Вы мне прислали сообщение об уязвимости. Сегодня это же самое исправление, без каких бы то ни было изменений, было установлено и здесь. При этом я одновременно с публикацией заплатки (позавчера) дал указания разработчикам тем оформления внести соответствующие изменения в скины для работы исправления. Вы думаете, я стал бы это делать, не будь увереным, что заплатка работает?
22. Перегарыч - 20 августа 2011 — 08:41 - перейти к сообщению
yura3d, понятно. Предпологалось что уже было исправленно и о проблеммах ftp не знал.

Прошу удалить в этой теме сообщения переписок и там где ссылка, так как у меня будет туда залито другая инф. не касающая этой уязвимости. Оставить сообщения как было, предупреждение и исправление.
23. BON - 20 августа 2011 — 08:57 - перейти к сообщению
yura3d пишет:
Вы больше слушайте то, что пишет этот самый Перегарыч

Юр, кстати то что он сказал я видел такое не на одно форуме.
yura3d пишет:
Во-первых, на эти самые ссылки ругается Касперский (так что ещё неизвестно, что Вы там могли подцепить),

у меня касперский стоит.
yura3d пишет:
во-вторых, там размещается скрипт, использующий эту самую уязвимость, и этот Перегарыч потом пытается получить доступ к Вашим профилям

ды знаю. Я же для для этого и создавал другой профиль, и заходил с другого браузера. Тем более сам перегарыч сказал создать его прежде чем я что то жамкну. Потом он мне прислал пароль от старого акаунта.
(Добавление)
yura3d пишет:
Он наверное теперь может красть Ваши пароли и безо всякой уязвимости (если Вы переходили по его ссылкам), и не только от этого форума, но и от других сайтов, которыми Вы пользуетесь

если бы мог украсть то тогда уже он смог бы зайти без вопросов под логином BON. Но этого не произошло.
24. Перегарыч - 20 августа 2011 — 09:08 - перейти к сообщению
Не я смотрю администратор не понимает просьбы, вынуждает нам заняться этим движком серьезно. Не чтоб выполнил просьбу за то что дыру указал где мне нафиг не надо было.

Не такие движки имели и ищите потом бомжа по айпи. Такие тут дураки, айпи свое светим не знаем что такое дедик не разу будто не брутили и симки с модемом на себя оформляем. А если надо было я сначало кодировал а потом онлайн сервисом тестил на вирус)))

Бля займеймемся военным форумом nikk, за его пустой базар.
25. bsaa - 20 августа 2011 — 09:10 - перейти к сообщению
вот и этот профиль работает. с вами всё тот же БОН
26. Перегарыч - 20 августа 2011 — 09:14 - перейти к сообщению
Цитата:
если бы мог украсть то тогда уже он смог бы зайти без вопросов под логином BON. Но этого не произошло.


Да не нужны мне акки, что с них взять. Если ломать то доступ фтп. или админа. И это надо делать молча а не вот я нашел и смотрите. А потом все сносить)))
27. BON - 20 августа 2011 — 09:16 - перейти к сообщению
Перегарыч пишет:
Если ломать то доступ фтп

это так просто сделать?
и даже если всё снести, всё равно ежедневно делаются бэкапы хостингом (не знаю как тут но у меня да).
28. Перегарыч - 20 августа 2011 — 09:21 - перейти к сообщению
BON, не просто. Но можно. Есть уже данные системы админа, есть твои.
Что и как дальше описывать не буду.
29. BON - 20 августа 2011 — 09:25 - перейти к сообщению
Перегарыч пишет:
Есть уже данные системы админа, есть твои.

бггг. у меня ломать нечего Улыбка
30. Перегарыч - 20 августа 2011 — 09:28 - перейти к сообщению
BON, ты что ящик не имеешь почтовый, в соц. сетях тебя нет или больше нигде не зарегистрирован как только здесь. Ломать можно не только форумы.

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0462]     [ ]