Бесплатные PHP скрипты - форум техподдержки

Бесплатные PHP скрипты - форум техподдержки

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 13.06.2024 - 09:17:52
Страницы:  1  2  3  

Отчет об уязвимостях cервера

Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.

АвторСообщение

banner88x31

B
гость

Я получил отчет от хостера о найденных уязвимостях сервера http://banner88x31.ru
Предлагаю ознакомиться всем желающим, особенно админу.. ;)

незащищенная передача данных
Описание

Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде.
Список форм:
POST /wrforum/tools.php?event=regenter HTTP/1.1
name=&pass=
POST /board/index.php?event=regenter HTTP/1.1
myname=&mypassword=
Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.
Решение

Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер.

Сообщение # 1 23.04.06 - 13:46:47

banner88x31

B
гость

межсайтовый скриптинг
Описание

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
Запрос для выполнения атаки:
POST /board/add.php?event=add HTTP/1.1
Host: banner88x31.ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX
Content-Type: application/x-www-form-urlencoded
Content-Length: 127
name=XSS%40<xscript>XSS</xscript>.com&zag=1&type=С&msg=1&rubrika=0%7CБизнес,%20финансы,%20производство%7C 112420763834%7C&days=7

Результат работы

<...>
'#F6F6F6' height=24><B>Доска объявлений Купи-продай</B></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Ваше Имя</font></td>
<td width=483 bgcolor='#F6F6F6'><font size=2>XSS@<xscript>XSS</xscript>.com</font></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Расположение</font></td>
<td width=483 bgcolor='#F6F6F6'><font size=2>&nbsp;Главная >> Бизнес, финансы, производство >> Спрос</font></td></tr>
<tr><td bgcolor=#E6E6E6><font size='-1'>Тема объ
<...>

Решение

Запретить использование этого скрипта или программно исправить ошибку.
Ссылки

http://www.cgisecurity.com/articles/xss-faq.shtml
http://www.cert.org/advisories/CA-2000-02.html
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985
http://httpd.apache.org/info/css-security/ap ache_specific.html

Сообщение # 2 23.04.06 - 13:47:47

banner88x31

B
гость

межсайтовый скриптинг
Описание

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
Запрос для выполнения атаки:
POST /board/add.php?event=add HTTP/1.1
Host: banner88x31.ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX
Content-Type: application/x-www-form-urlencoded
Content-Length: 127
name=1&zag=XSS%40<xscript>XSS</xscript>.com&type=С&msg=1&rubrika=0%7CБизнес,%20финансы,%20производство%7C 112420763834%7C&days=7

Результат работы

<...>
><font size=2>&nbsp;Главная >> Бизнес, финансы, производство >> Спрос</font></td></tr>
<tr><td bgcolor=#E6E6E6><font size='-1'>Тема объявления</font></td>
<td bgcolor=#F6F6F6><font size='-1'>XSS@<xscript>XSS</xscript>.com</font></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Объявление:</font></td>
<td width=483 bgcolor='#F6F6F6'><font size=2>1</font></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Дата подачи</font></td>
<td width=483 bgcol
<...>

Решение

Запретить использование этого скрипта или программно исправить ошибку.
Ссылки

http://www.cgisecurity.com/articles/xss-faq.shtml
http://www.cert.org/advisories/CA-2000-02.html
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985
http://httpd.apache.org/info/css-security/ap ache_specific.html

Сообщение # 3 23.04.06 - 13:48:54

banner88x31

B
гость

межсайтовый скриптинг
Описание

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.
Запрос для выполнения атаки:
POST /board/add.php?event=add HTTP/1.1
Host: banner88x31.ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTX
Content-Type: application/x-www-form-urlencoded
Content-Length: 127
name=1&zag=1&type=С&msg=XSS%40<xscript>XSS</xscript>.com&rubrika=0%7CБизнес,%20финансы,%20производство%7C 112420763834%7C&days=7

Результат работы

<...>
></td>
<td bgcolor=#F6F6F6><font size='-1'>1</font></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Объявление:</font></td>
<td width=483 bgcolor='#F6F6F6'><font size=2>XSS@<xscript>XSS</xscript>.com</font></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Дата подачи</font></td>
<td width=483 bgcolor='#F6F6F6'><font size=2>21:24:15 - 21.04.2006</font></td></tr>
<tr><td width=114 bgcolor='#E6E6E6' height=24><font size=2>Дата удаления</font></td
<...>

Решение

Запретить использование этого скрипта или программно исправить ошибку.
Ссылки

http://www.cgisecurity.com/articles/xss-faq.shtml
http://www.cert.org/advisories/CA-2000-02.html
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q252985
http://httpd.apache.org/info/css-security/ap ache_specific.html

Сообщение # 4 23.04.06 - 13:49:54

WR

W
Участник форума

Можно по-подробней, я записываю

Иньъекция куда делается? Какая переменная подменяется. Непонял я из этих примеров.

Сообщение # 5 24.04.06 - 11:39:55

Carl_F

C
гость

banner88x31, помоему это ты X-Spider'ом сканил...
Если честно - лол :)

Сообщение # 6 24.04.06 - 19:16:51

WR

W
Участник форума

Так и что это означает? Какие переменные нужно защитить? msg ?

Сообщение # 7 25.04.06 - 05:13:29

banner88x31

B
гость

Carl_F,
это пришло от моего хостера:

Цитата:

Доставляем вам отчет по результатам проверки вашего сайта системой мониторинга
информационной безопасности XSpider, разработанной компанией Positive Technologies и
действующей в рамках партнерских соглашений между Positive Technologies и компанией
..masterhost.

а чем он плох?

WR,
я, честно говоря, и не знаю..
мне это прислали, я предложил посмотреть вам.

Сообщение # 8 25.04.06 - 06:06:13

.:SpecAgent:.

.
гость

пора переходить на "мастерхост"
спайдер то офигенные деньги стоит

Сообщение # 9 29.04.06 - 23:41:07

.:SpecAgent:.

.
гость

WR, <xscript>XSS</xscript>
тут вставляется код и осуществляется атака,
а вообще у тебя много открытой инфы в адресной строке

Сообщение # 10 29.04.06 - 23:43:43

WR

W
Участник форума

а в 1.8 версии форума меньше стало? Там работу серьёзную мы провели с Толяном

Сообщение # 11 02.05.06 - 09:41:10

.:SpecAgent:.

.
гость

WR, ну форум я не качал и не ворочал, если честно
Сам знаешь, меня доска интересует больше

Сообщение # 12 02.05.06 - 10:34:44
backap. Возможно или нет :Предыдущая темаСледующая тема: Кажется мою доску хакнули
Страницы:  1  2  3  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
Ответ на вопрос: (Какой сейчас год?)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.3 UTF-8 beta версия