Бесплатные PHP скрипты - форум техподдержки

Бесплатные PHP скрипты - форум техподдержки

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 23.06.2024 - 08:27:50
Страницы:  1  2  

Уязвимости....

Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.

АвторСообщение

4vaKopp

4
гость

Привет люди!
копался тут в форуме у себя...
Строка вида
http://chuvizm.h16.ru/forum/index.php?fid=1&id=../../../../../../test&page=0 забирает любой .dat файл из любой папки.

Просмотр файла с паролями пользователей(только виндовс):
http://chuvizm.h16.ru/forum/index.php?fid=1&id=usersdat.php%00&page=12

А это уже с вашего форума. Может кто попробует так тему добавить?
https://www.wr-script.ru/forum/

ЗЫ. Даже придумал универсальное решение: в каждом правильном файле первую строку сделать особой, чтобы читать ее и отдавать файл на основе этого. И фильтровать, фильтровать!

Сообщение # 1 09.03.06 - 19:29:17

WR

W
Участник форума

Спасибо Чувак

Буду исправлять.

Сообщение # 2 13.03.06 - 05:09:55

vladik-kiev

V
гость

Shannon, спасибо, что б мы без тебя делали!

Сообщение # 3 31.07.06 - 14:40:01

WR

W
Участник форума

Да, работает, на славу.

Сообщение # 4 31.07.06 - 16:44:18

cyber

C
гость

Поля "Откуда:", "Интересы:", "Подпись:" не фильтруют html, есть реальная возможность использовать XSS.

Сообщение # 5 28.08.06 - 17:24:35

WR

W
Участник форума

cyber, спасибо за информацию. Уже полчаса пытаюсь понять, но, видимо нужно с утра содиться а не ночью за поиск уязвимостей....

Сообщение # 6 29.08.06 - 18:05:52

Maksir

M
Участник форума

Функция PHP crypt представляет простой и эффективный алгоритм одностороннего шифрования. Аналогичный алгоритм используют программа htpasswd и так же система паролей Unix . Чтобы зашифровать пароль, нужно подать его на вход crypt с переменной $salt , которая содержит другую строку, на которой основывается шифрование:
$crypt_password = crypt ($password, $salt);

Зашифрованную строку нельзя рашифровать. Но функция crypt возвращает тот же результат для того же пароля и строки salt

Таким образом, можно хранить зашифрованную версию пароля и сравнивать её с той, что вводит пользователь.

Основа
Если при вызове функции crypt опустить строку salt , последняя будет выбрана случайным образом. В результате для двух одинаковых вызовов этой функции на выходе получаются различные результаты. Для строки salt достаточно двух символов. Именно столько используется при шифровке файла паролей Unix и в утилите htpassword

P.S. пока это писал, в тык получил от начальства...
люди гибнут за прогресс...

Сообщение # 7 29.08.06 - 18:46:03

Maksir

M
Участник форума

WR, я взял эту статью из книжки. Слово в слово перекатал. Это основное (не всю главу). Подумал, что эта тема будет актуальна, тем более, что в скриптах WR такого механизма работы нет...

Эта же книжка называется "PHP 5 - десять мин на урок"
а чего непонятного? наверное, я что-то упустил?
Хорошо, тогда попробую поподробнее, или найду тот же материал в другой книжке.
Ещё есть у меня один скрипт, там использованно шифрование для паролей. Этот механизм можно будет вырезать (я этим только и занимаюсь, что вырезаю хорошенькие скрипты )

Сообщение # 8 04.09.06 - 19:09:04

Maksir

M
Участник форума

// Давайте покажем все ошибки
error_reporting(E_ALL);

Прочитал в книжке "PHP в примерах", что данную директиву лучше всего использовать для отладки кода, в процессе разработки. А вот, когда уже выкладывать рабочий скрипт, на сервер, то данную функцию следует закоментировать, дабы не дать злому хахерю использовать эти ошибки в своих чисто конкретных целях... Вот!
Прошу принять это к сведению и придать этому важное значение.

Сообщение # 9 28.09.06 - 03:27:30

WR

W
Участник форума

Maksir, согласен. я отключаю, когда выкладвыаю готовый релиз на сайт.

Сообщение # 10 01.10.06 - 08:55:28

boot

B
гость

форум страдает include багом выдаёт при неверной авторизации вот это

/usr/home/wr-script.ru/htdocs/forum/tools.php
Вернитесь назад Ваш данные НЕ верны!

Сообщение # 11 17.12.06 - 18:04:22

WR

W
Участник форума

Это не уязвимость а баг Вот блин, некогда и всё его исправлять... И даже не знаю когда исправлю, вот такие пироги.

Сообщение # 12 29.01.07 - 16:17:27
БагТрак :Предыдущая темаСледующая тема: неправильный data/.htaccess
Страницы:  1  2  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
Ответ на вопрос: (Какой сейчас год?)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.3 UTF-8 beta версия