 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 24.11.2024 - 04:58:57
Уязвимость в галерее| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
Franklin •
F гость
|
Дароф уважаемый админ.
Кароч вот линк: http://gfs.jino-net.ru/index.php?type=text&page=contents/xaking/bagtrack/wr-gallery_11.txt
Если интересны подробности, то связь с тимой ты могешь найти на сайте.
С уважением, Group Freedom Search. | |
|
| Сообщение # 1 |
17.01.06 - 18:01:30
|  |
Franklin •
F гость
|
связь есличто: icq: 88-24-13 | |
|
| Сообщение # 2 |
17.01.06 - 18:23:30
| |
WR •
W Участник форума
|
|
| Сообщение # 3 |
18.01.06 - 12:27:10
| |
Franklin •
F гость
|
WR, не знаю о каких 5-ти человеках ты гришь, но я и кобальт(с которым ты трещал по аське) из gfs, мы нашли твой баг, мы и предлагаем свои услуги... твое право отказаццо, но согласись, что постить отрывки ссобщений из ващего разговора в аське в новостях - это по крайней мере неправильно... тебе предложили услугу, ты можешь отказаться и фсе, тебе угрожали или еще что? нет!? ну а какого хера ты тогда слюной брызгаешь?
" ещё и намекая на то что я тупой кодер - каких в инете море.", кто тебе намекал? я? кобальт? не ври, я не намекал, а ваш разговр с кобальтом я тоже читал, там намеков небыло, может кто-то из остальных 3-х человек?
"Ладно бы если они нашли ошибки в платных скриптах - это понятно, но за исправление ошибок в БЕСПЛАТНЫХ скриптах они просят бабки"
не, чувак, на это даже слов нет! а кто, ебть даст мну скачать твои платные скрипты? | |
|
| Сообщение # 4 |
18.01.06 - 19:19:48
|
|
cobalt •
C гость
|
ыыыыы....
Чувак я тебе отписал по этому поваду, тама все написано.... Номаный вобщем-то был форум, я его даже по первости себе на сайт повесил а в итоге =(
| |
|
| Сообщение # 5 |
18.01.06 - 19:25:18
| |
WR •
W Участник форума
|
А в итоге я вчера был злой 
Сколько человек у Вас в команде? Всего двое? Странные события происходят на этой неделе.
Сегодня выложу исправленную галерею. Вот что я придумал:
Код: // ЗАЩИТЫ от ВЗЛОМА
// 1. считаем кол-во точек в выражении - если большей одной - СВОБОДЕН!
$findtchka=substr_count($fotoname, "."); if ($findtchka>1) {echo "ТОЧКА встречается в имени файла $findtchka раз(а). Это ЗАПРЕЩЕНО! <BR>\r\n";}
// 2. если в имени есть .php, .html, .htm - свободен!
$bago="Извините. В имени ФАйла <B>запрещено</B> использовать .php, .html, .htm";
if (preg_match("/\.php/i",$fotoname)) {echo "Вхождение <B>\".php\"</B> найдено. $bago"; exit;}
if (preg_match("/\.html/i",$fotoname)) {echo "Вхождение <B>\".html\"</B> найдено. $bago"; exit;}
if (preg_match("/\.htm/i",$fotoname)) {echo "Вхождение <B>\".htm\"</B> найдено. $bago"; exit;}
// 3. защищаем от РУССКИХ букв в имени файла и проверяем расширение файла
if (preg_match("/^[a-z0-9\.\-_]+\.(jpgIgifIpngI)+$/is",$fotoname)) {print "Запрещено использовать РУССКИЕ буквы в имени файла!"; exit;}
// 4. Проверяем, может быть файл с таким именем уже есть на сервере
if (file_exists("$datadir/$fotoname")) {print "Файл с таким именем уже существует на сервере! Измините имя на другое!";}
// Конец защит по имени файла
$fotoksize=round($fotosize/10.24)/100; // размер ЗАГРУЖАЕМОГО ФОТО в Кб.
$fotomax=round($max_file_size/10.24)/100; // максимальный размер фото в Кб.
if ($fotoksize>$fotomax) {print"Вы превысили допустимый размер фото! <BR><B>Максимально допустимый</B> размер фото: <B>$fotomax </B>Кб.<BR> <B>Вы пытаетесь</B> загрузить изображение: <B>$fotoksize</B> Кб!"; exit;}
if ($fotosize>"0" and $fotosize<$max_file_size) {
copy($_FILES['file']['tmp_name'], $datadir."/".$fotoname);
print "
Фото УСПЕШНО загружено: $fotoname (Размер: $fotosize байт)";}
else { print "<B>Файл НЕ ЗАГРУЖЕН - ошибка СЕРВЕРА! Обратитесь к администратору!<B>"; exit;}
|
| |
|
| Сообщение # 6 |
19.01.06 - 06:47:12
| |
cyber •
C гость
|
Интересно, где они найдут shell на 20 кб ;))
Кстати, я проверил уязвимость, не могу понять, каким образом она работает, у меня выводит простую пустую картинку... | |
|
| Сообщение # 7 |
19.01.06 - 07:31:37
| |
Franklin •
F гость
|
WR, про команду ты можешь почитать на сайте http://gfs.jino-net.ru, в разделе "GFS".
cyber, ну ты реально жжошь)))
Код:
вот тебе и весь шелл ))
а вообще, наш шелл весит 16,7 кбайт )) | |
|
| Сообщение # 8 |
19.01.06 - 10:16:50
| |
cobalt •
C гость
|
WR: По здравому размышлению, я тут подумал что такая защита тебе не поможет. Во-опервых франк прально казал, что самый минимальный шел будет весить меньше любой картинки. Во-вторых: что мне мешает залить файл с расширением jpg а контентом пхп ? | |
|
| Сообщение # 9 |
19.01.06 - 17:38:20
| |
cyber •
C гость
|
Вы чё???
Вы как собираетесь использовать эту .jpg картинку ? :))
Так получается любой скрипт, где есть загрузка картинки, файла уязвим!  | |
|
| Сообщение # 10 |
19.01.06 - 21:20:16
| |
Franklin •
F гость
|
Эт просто коба немного ашипся... бывает | |
|
| Сообщение # 11 |
20.01.06 - 00:20:02
| |
WR •
W Участник форума
|
Шутники! Смотрите демо: http://wr.kovostok.ru/gallery-1.2/ - исправлено.
 | |
|
| Сообщение # 12 |
20.01.06 - 04:34:54
| |
|
Главная сайта
