Вразливості хостингу.

dimi4-Labs

Всім привіт! Усі завжди знали що наш хостинг - найкращий, найзручніши, проте чи найбезпечніший.
Зайшовши на форум вирішив переглянути варіанти кнопочок. Натрапив на сторінку:
https://topua.net/bbrowser.php?
Клацнувши на одну з кнопок побачив адресу у браузері:
https://topua.net/bbrowser.php?file=topua.net.slavutka.gif
Відразу промайнула думка про ін'єкцію. Згадавши що мій сайт нещодавно був взломаний саме (як мені пояснювали) через хоситинг, вирішив перевірити на вразливість.
Я підставив:
https://topua.net/bbrowser.php?file='
Але ін'єкції небуло. Проте зміналась інформація в <textarea></textarea>
Було зрозуміло що це XSS.
Я підставив:
https://topua.net/bbrowser.php?file=%3Cscript%3Ealert()%3C/script%3E
Знову нічого. Все стало зрозуміло: потрібно примусово закрити тег <textarea>
Що я і зробив:
https://topua.net/bbrowser.php?file=%3C/textarea%3E%3Cscript%3Ealert()%3C/script%3E
На цейраз виліз безвинний алерт.
Добавив вивід кукісів форуму:
https://topua.net/bbrowser.php?file=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Добавивши сніффер можна діл натворити...
Тож прошу адміністрацію переглянути деякі скрипти у плані безпеки. Користувачам буде зручніше.
Дякую, що вислухали мене.

Дмитро

Дякую за детальний опис проблеми!

Проблему усунув!

CrazySAS

не хотів створювати нову тему.

У мене встановлений фаєрвол OutPost. І я недавно замітив таку дивну річ: коли я через фтп з*єднався з одним зі своїх сайтів і починаю закачувати туди якийсь файл, фаєрвол блокує це з*єднання. Нижче ви можете переглянути деталі на скріншоті. Атакує сайт dirt-tv.org.ua, який знаходиться на сервері ТОПУА. Тип атаки: RST, хоча перед цим була Nuke атака.

Приєднання файлів:

ataka.JPG

Можливо це просто приколи фаєрволу. Я незнаю. Просто вирішив дати вам знати.

Дмитро

Це приколи Outpost-у.

CrazySAS

оце так приколи.

Дякую за відповідь.

Bone

Краще юзайте Comodo Personal Firewall - безплатна ліцензія і кращий (правда, без вбудованого SpyWare сканеру)

Kyrya

Bone написав:

Краще юзайте Comodo Personal Firewall - безплатна ліцензія і кращий (правда, без вбудованого SpyWare сканеру)

Краще юзайте Linux, тоді й не треба буде собі голову морочити.

Bone

Можна й так

Але, нажаль, на лінукс софту мало, і це найбільша його проблема

[LP]LordPro.teus

Bone написав:

Можна й так

Але, нажаль, на лінукс софту мало, і це найбільша його проблема

Бо усі на це тільки жаліються, а самі нічого не роблять...

Kyrya

Bone написав:

Можна й так

Але, нажаль, на лінукс софту мало, і це найбільша його проблема

Типова думка юзера Windows. Вам мало 10 000 у одному дистрибутиві? Ну то докачайте ще.

Bone

В мене лінукс ніколи не стояв і я його в очі не бачив, тому Вам краще видно.

Але я роблю дійсно типові висновки

Форум TopUA.NET

Вразливості хостингу.

Хто зараз онлайн