Forum Webscript.Ru
Наши скрипты => MobilePublisherPHP => Тема начата: AN от 03 Сентября 2004, 14:08:33
-
Некто tristram, ломанул наш движек. http://forum.ccteam.ru/viewtopic.php?t=261 (http://forum.ccteam.ru/viewtopic.php?t=261)
Будте внимательны.
Исправте дырку!
-
Вот прикол-то, сейчас попробовал всё проделать как там описано.... Это не дырка, а дырища!!!
-
ему, кстати,14 лет.
талант растет
-
Я смотрю волна популярности взлома МП растет... Сегодня ко мне на сайт зашло (как минимум) 3 человека с поисковиков по фразе "MobilePublisher". И это были не первые страницы в поисковиках, а значит искали они не сам движок, а его инсталляции.
-
1. Мало того, у меня например было еще больше через поисковик по этому же запросу и ломанули второй раз подряд, просто все дыры не залатал :((
2. Короче, читайте полное описание от 14-летнего гения :))
http://forum.ccteam.ru/viewtopic.php?t=288 и не спите!
3. Но движок у вас хороший, спасибо! Залатает мне сейчас дыры профи и буду спокойно дальше на нем работать...
-
:)
меня начиная с 31 числа ломали примерно 10-15 раз в сутки,
я по дурости не запретил переход между папками внутри сервера и они поломали все первые страницы, всех разделов и проектов сервера.
то, что дырка была в этом скрипте я как бы не сомневался, просто искать я не большой умелец :)
спасибоо, что показали, где примерно.
-
Просто надо чаще смотреть свой собственный форум.
За 2 недели до опубликования узявимости я выложил её к вам на форум :
http://forums.webscript.ru/showthread.php?threadid=17383&pagenumber=2
А по поводу 14-летних гениев я сильно сомневаюсь. :)
@ROFL
-
Рофл зря сомневаешься парнишке дейсктвительно 14 и кстати он
( в отличие от других хулюганов ) очень даже интелегентен.
Во первых если дефейсит - то аккуратно - во вторых сообщает о том как закрыть багу - а в третих - напрягся и нашел ОГРОМНОЕ кол-во баг.
Кстати показал своим братьям програмерам - они вообще удивились как до этого еще никто раньше не догадался.
-
Самое интересное, что во время взлома я был в отпуске. События разворачивались прямо как в американских фильмах...
Представляете, море, солнце, девушки .... и тут мне пишут знакомые СМС, что движек хакнули.
Через день я добрался до интернета...
А в это время школьники, как ни в чем не бывало резались в игры. Они наверное слышали про хакеров, но детишкам и в голову не могло прийти, что за соседним компьютером анализируются последствия взлома.
И еще.
Как я писал ранее http://forums.webscript.ru/showthread.php?s=&postid=104056#post104056 (http://forums.webscript.ru/showthread.php?s=&postid=104056#post104056) у меня совсем нет времени, чтобы заниматься движком (во всем виновата работа =( ). Только один petrenko.com.ua начал мне помогать.
А вы господа?
Присоединяйтесь. Сейчас ваша помощь наиболее нужна, иначе движек совсем умрет. =(
-
Ладно, про дырки понятно, все видно..., но может кто-нибудь скажет поподробнее где чего латать и править, а?
-
++ Bug: simple bug. include in included file ((admin)header.php) ++
++ Fix: add "if ($PHP_SELF == "/".basename(__FILE__)) ++
++ {die("Hacking attempt! Boo...");}
-
Сайт mp.webscript.ru востановлен и ... выключен. Если кто-то хочет всерьез заниматься этим движком, пишите мне.
-
:))))
--------------------
icq656555