Полная Версия: Снова подниму тему о взломе сайтов
Знать о том как можно взломать, где уязвимость и сообщить чтобы исправили имхо деятельность достойная.
| Цитата (Гость_Michael @ 26.11.2012 - 21:33) |
| Знать о том как можно взломать, где уязвимость и сообщить чтобы исправили имхо деятельность достойная. |
На самом деле...
Свернутый текст
Это актуально, только для личного улучшения и понимания механизмов
Как говорят многие хостеры, большинство "взломов" через FTP, пароли воруются на клиентской машине, а дальше дело за малым...
Да и хорошо, когда ломают так, что видно явно! Конечно, всё зависит от целей, которые преследует взломщик, но хороший взлом никогда не будет явно предан огласке, наоборот, с него попытаются извлечь как можно больше пользы в денежном эквиваленте)))
Например вывод всплывающей рекламы или тупо редирект на платный трафоприёмник, но не всех пользователей, а только, скажем, если они пришли из гугла, найдя сайт по запросу "сольюсь в трафоприём" )))
Еще можно ссылок повставлять в старые публикации...
Да что я говорю, способов уйма))))
Да и хорошо, когда ломают так, что видно явно! Конечно, всё зависит от целей, которые преследует взломщик, но хороший взлом никогда не будет явно предан огласке, наоборот, с него попытаются извлечь как можно больше пользы в денежном эквиваленте)))
Например вывод всплывающей рекламы или тупо редирект на платный трафоприёмник, но не всех пользователей, а только, скажем, если они пришли из гугла, найдя сайт по запросу "сольюсь в трафоприём" )))
Еще можно ссылок повставлять в старые публикации...
Да что я говорю, способов уйма))))
| Цитата (Shkiper) |
| Michael я б с радостю, но в чем искать - даже не знаю. Может приведешь какой нибудь мастер класс по этому сайту? |
И при этом в теме ты хочешь узнать самые хитрые типы атак... Хотя над самым примитивом даже не хочешь подумать. Тут только практика играет роль.
I++, ну прям так всем нас...ть, владельцам сайта еще как не.
_____________
There never was a struggle in the soul of a good man that was not hard
| Цитата (Shkiper @ 26.11.2012 - 18:35) |
| Hello ну например как я сделаю инъекцию если я не знаю имя таблицы в БД? |
Кто мешает узнать имя таблицы?
SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES
_____________
VPS от 5$, первые 2 месяца - бесплатно.
I++ мдаааа.... Это тоже самое, что мне скзать "напиши "батлефилд 4". Я нифига там не понял. За ссылочки канешь спасибо. Там я нашел СИшные файлы файлы а файла с расширением .php неа.
inpost да не может такого быть. Я вообще человек не сильно законопослушный и люблю пошалить
Hello ну я не все "новогодние подарки" SQL знаю
inpost да не может такого быть. Я вообще человек не сильно законопослушный и люблю пошалить
Hello ну я не все "новогодние подарки" SQL знаю
reedrem скинь файлы которые обещал
скидывал уже давно. щас копию перешлю.
redreem а что он делает? я когда его открываю мне выдает форму с вводам пароля и все
Shkiper
он исполняет команды, которые ему придут через GET-POST. код смотри. ты думал откроешь, а там будет супер приветствие в стиле матрицы и доступ к правительственным сайтам по одному клику?
он исполняет команды, которые ему придут через GET-POST. код смотри. ты думал откроешь, а там будет супер приветствие в стиле матрицы и доступ к правительственным сайтам по одному клику?
Кнопка "ВЗЛОМАТЬ ПЕНТАГОН" 
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
| Цитата |
| он исполняет команды, которые ему придут через GET-POST. код смотри. ты думал откроешь, а там будет супер приветствие в стиле матрицы и доступ к правительственным сайтам по одному клику? |
А если
disable_functions = ini_alter,ini_restore, show_source, exec,passthru,shell_exec,system, proc_open,proc_close, popen, pcntl_exec,pcntl_fork,pcntl_signal, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid ,posix_setuid, openlog,syslog, apache_child_terminate,virtual, dl,symlink, escapeshellarg,escapeshellcmd
что он исполнить сможет))?
medvedeva
без понятия я не ковырял его. нашел и выкорчевал
без понятия
я не ковырял его. нашел и выкорчевал
redreem бля я вообще не понял как с ним работать. можно пример
Shkiper
ну допустим это файл, который в некой CMS инклудится в определенном месте. например при регистрации и в форме обратной связи или при заливке картинок. неважно. вот хакер подменил этот файл своим. в который всунул анализ гет-пост строки. и если в гет-пост приходит к примеру параметр action=blablabla, то это blablabla вызывает какие-то действия на серваке. там внизу файла есть как раз 2 функции (последние), которые и анализируют это blablabla. я его сам досконально не ковырял - нужды небыло. а так - я его даже открыть не могу у себя, нод его сразу в карантин. так что копай сам.
ну допустим это файл, который в некой CMS инклудится в определенном месте. например при регистрации и в форме обратной связи или при заливке картинок. неважно. вот хакер подменил этот файл своим. в который всунул анализ гет-пост строки. и если в гет-пост приходит к примеру параметр action=blablabla, то это blablabla вызывает какие-то действия на серваке. там внизу файла есть как раз 2 функции (последние), которые и анализируют это blablabla. я его сам досконально не ковырял - нужды небыло. а так - я его даже открыть не могу у себя, нод его сразу в карантин. так что копай сам.
Здесь расположена полная версия этой страницы.