|
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 23.11.2024 - 01:24:29 Отчет об уязвимостях cервераОбъявление - WR-Scriptы в UTF-8 кодировке |
---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий! Планирую продолжить работы весь 2023 год.
|
Автор | Сообщение |
---|
banner88x31 •
B гость
|
Я получил отчет от хостера о найденных уязвимостях сервера http://banner88x31.ru Предлагаю ознакомиться всем желающим, особенно админу.. ;)
незащищенная передача данных Описание
Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде. Список форм: POST /wrforum/tools.php?event=regenter HTTP/1.1 name=&pass= POST /board/index.php?event=regenter HTTP/1.1 myname=&mypassword= Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети. Решение
Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер.
| |
|
Сообщение # 1 |
23.04.06 - 13:46:47
| | banner88x31 •
B гость
|
межсайтовый скриптинг Описание
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д. Запрос для выполнения атаки: POST /board/add.php?event=add HTTP/1.1 Host: banner88x31.ru User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX Content-Type: application/x-www-form-urlencoded Content-Length: 127 name=XSS%40<xscript>XSS</xscript>.com&zag=1&type=С&msg=1&rubrika=0%7CБизнес,%20финансы,%20производство%7C 112420763834%7C&days=7
Результат работы
<...> '#F6F6F6' height=24><B>Доска объявлений Купи-продай</B></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Ваше Имя</font></td> <td width=483 bgcolor='#F6F6F6'><font size=2>XSS@<xscript>XSS</xscript>.com</font></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Расположение</font></td> <td width=483 bgcolor='#F6F6F6'><font size=2> Главная >> Бизнес, финансы, производство >> Спрос</font></td></tr> <tr><td bgcolor=#E6E6E6><font size='-1'>Тема объ <...>
Решение
Запретить использование этого скрипта или программно исправить ошибку. Ссылки
http://www.cgisecurity.com/articles/xss-faq.shtml http://www.cert.org/advisories/CA-2000-02.html http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985 http://httpd.apache.org/info/css-security/ap ache_specific.html
| |
|
Сообщение # 2 |
23.04.06 - 13:47:47
| | banner88x31 •
B гость
|
межсайтовый скриптинг Описание
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д. Запрос для выполнения атаки: POST /board/add.php?event=add HTTP/1.1 Host: banner88x31.ru User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX Content-Type: application/x-www-form-urlencoded Content-Length: 127 name=1&zag=XSS%40<xscript>XSS</xscript>.com&type=С&msg=1&rubrika=0%7CБизнес,%20финансы,%20производство%7C 112420763834%7C&days=7
Результат работы
<...> ><font size=2> Главная >> Бизнес, финансы, производство >> Спрос</font></td></tr> <tr><td bgcolor=#E6E6E6><font size='-1'>Тема объявления</font></td> <td bgcolor=#F6F6F6><font size='-1'>XSS@<xscript>XSS</xscript>.com</font></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Объявление:</font></td> <td width=483 bgcolor='#F6F6F6'><font size=2>1</font></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Дата подачи</font></td> <td width=483 bgcol <...>
Решение
Запретить использование этого скрипта или программно исправить ошибку. Ссылки
http://www.cgisecurity.com/articles/xss-faq.shtml http://www.cert.org/advisories/CA-2000-02.html http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985 http://httpd.apache.org/info/css-security/ap ache_specific.html
| |
|
Сообщение # 3 |
23.04.06 - 13:48:54
| | banner88x31 •
B гость
|
межсайтовый скриптинг Описание
Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д. Запрос для выполнения атаки: POST /board/add.php?event=add HTTP/1.1 Host: banner88x31.ru User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX Content-Type: application/x-www-form-urlencoded Content-Length: 127 name=1&zag=1&type=С&msg=XSS%40<xscript>XSS</xscript>.com&rubrika=0%7CБизнес,%20финансы,%20производство%7C 112420763834%7C&days=7
Результат работы
<...> ></td> <td bgcolor=#F6F6F6><font size='-1'>1</font></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Объявление:</font></td> <td width=483 bgcolor='#F6F6F6'><font size=2>XSS@<xscript>XSS</xscript>.com</font></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Дата подачи</font></td> <td width=483 bgcolor='#F6F6F6'><font size=2>21:24:15 - 21.04.2006</font></td></tr> <tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Дата удаления</font></td <...>
Решение
Запретить использование этого скрипта или программно исправить ошибку. Ссылки
http://www.cgisecurity.com/articles/xss-faq.shtml http://www.cert.org/advisories/CA-2000-02.html http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985 http://httpd.apache.org/info/css-security/ap ache_specific.html
| |
|
Сообщение # 4 |
23.04.06 - 13:49:54
|
| WR •
W Участник форума
|
Можно по-подробней, я записываю
Иньъекция куда делается? Какая переменная подменяется. Непонял я из этих примеров.
| |
|
Сообщение # 5 |
24.04.06 - 11:39:55
| | Carl_F •
C гость
|
banner88x31, помоему это ты X-Spider'ом сканил... Если честно - лол :) | |
|
Сообщение # 6 |
24.04.06 - 19:16:51
| | WR •
W Участник форума
|
Так и что это означает? Какие переменные нужно защитить? msg ? | |
|
Сообщение # 7 |
25.04.06 - 05:13:29
| | banner88x31 •
B гость
|
Carl_F, это пришло от моего хостера: Цитата: Доставляем вам отчет по результатам проверки вашего сайта системой мониторинга информационной безопасности XSpider, разработанной компанией Positive Technologies и действующей в рамках партнерских соглашений между Positive Technologies и компанией ..masterhost. | а чем он плох?
WR, я, честно говоря, и не знаю.. мне это прислали, я предложил посмотреть вам. | |
|
Сообщение # 8 |
25.04.06 - 06:06:13
| | .:SpecAgent:. •
. гость
|
пора переходить на "мастерхост" спайдер то офигенные деньги стоит | |
|
Сообщение # 9 |
29.04.06 - 23:41:07
| | .:SpecAgent:. •
. гость
|
WR, <xscript>XSS</xscript> тут вставляется код и осуществляется атака, а вообще у тебя много открытой инфы в адресной строке | |
|
Сообщение # 10 |
29.04.06 - 23:43:43
| | WR •
W Участник форума
|
а в 1.8 версии форума меньше стало? Там работу серьёзную мы провели с Толяном | |
|
Сообщение # 11 |
02.05.06 - 09:41:10
| | .:SpecAgent:. •
. гость
|
WR, ну форум я не качал и не ворочал, если честно Сам знаешь, меня доска интересует больше | |
|
Сообщение # 12 |
02.05.06 - 10:34:44
| |
|