Дата: 24/08/17 - 01:58 am   9453 Тем и 93417 Сообщений

Последние сообщения

Страницы: [1] 2 3 ... 10
1
Защита и взлом / Ваши найденные уязвимости
« Последний ответ от BаbaDook Августа 23, 2017, 08:42:28 pm »
SSRF, XSS and race condition

www.tutorialspoint.com/online_xml_editor.htm
уязвимости в форме загрузки файла

<?php 
  $type = isset($_GET['type'])?$_GET['type']:'';
   if($type != ''){
      $url = $_GET['url'];
      $url = preg_replace('#^https?://#', 'http://', $url);
      $opts = array(
        'http'=>array(
        'method'=>"GET",
        'header'=>"Accept-language: en\r\n" .
                    "Cookie: foo=bar\r\n"
        )
      );
      if(filter_var($url, FILTER_VALIDATE_URL) === false) {
           echo("$url is not a valid URL");
           exit;
      }
      $context = stream_context_create($opts);
      $data = file_get_contents ($url,false,$context);
      if(empty($data)){
         echo -1;
      } else {
         echo $data;   
      }
     
   } else {
      $file = $_FILES['file'];
      $filepath = '/tmp/'. $file['name'];
     $filename = realpath( $filepath );
      if(move_uploaded_file($file['tmp_name'],$filepath ))   
      {
         chmod($filepath, 0777);
         $data = file_get_contents ($filepath);   
         echo $data;
      unlink($filepath);
      }
     
   }
   exit;
?>
НО, к  сожалению из за  особенности  веб сервера   состоянии гонки не  эксплуатируемая
2
Общий / Кто враг?
« Последний ответ от codeseg Августа 23, 2017, 01:09:39 am »
Схема заработка - купить биткоин, биткоин кэш и подождать пока вырастет в 4-10 раз.
3
Общий / Кто враг?
« Последний ответ от goldtiger Августа 23, 2017, 12:06:27 am »
Да тут shinshil мог просто как то мягче все подать. А в итоге - вышло как вышло. Пусть он и со статусом, зато я знаю что он человек с большой буквы Ч.
4
Общий / Кто враг?
« Последний ответ от Ar3s Августа 22, 2017, 08:33:54 pm »
Засмущал.... Не за что.
На счет Карабаса - а я и не говорил, что он плохой. Мы до сих пор общаемся иногда. Он в сети не часто. У него мини-бизнес есть в онлайне.
Ситуация была просто такая. Он закосячил. Я не мог написать, что всем нельзя, а ему можно. Правила одинаковы. Статус он получил.
5
Общий / Кто враг?
« Последний ответ от goldtiger Августа 21, 2017, 10:38:29 pm »
А я считаю карабаса очень умным и охрененым человеком. Когда мне было трудно, он мне очень помог в то время. А один самый умный, решил показать всем, какой карабас плохой. Это примерно как было с best1a. Всегда все можно обсудить и пойти на уступки, чтоб не терять толковых и хороших людей. А сейчас посмотрите вокруг (те кто был в темах хотя бы с 2007-2008), как изменилось комьюнити ? Как изменились форумы ? Дамага которая была примером для многих - ныне не имеет такого трафика, ачат (с реальными спецами (кто вкурсе про приват левелы - тот поймет) - превратилась в площадку хуй пойми чего (извините за выражение). Экспа с несменным Тохой, имеет оборот меньше унылх дм ввх и прочих. Разве это справедливо ?
А так конечно очень хотелось бы сказать спасибо тебе Ar3s (Тоха), что вы до сих пор с нами, что вы не изменяете правилам, что никогда не делали глупых кидков и ошибок, которые привели бы к разрушению форума. В общем, просто большое человеческое спасибо.
6
Общий / Противодействие jabber спамерам
« Последний ответ от Ar3s Августа 21, 2017, 10:21:52 pm »
недавно наткнулся на антиспам в виде картинки. Пришлите мне на английском языке название того что изображено на картинке и урл на картинку...
Тут только руками, только хардкор.
7
Общий / Кто враг?
« Последний ответ от Ar3s Августа 21, 2017, 10:18:07 pm »
Карабаса задолбали покупки лицухи на двоих-троих-четверых и он добавил стучалку в свой лоадер. После n-минут работы бинарник стучал на его гейт и передавал адрес админки. Там был какой-то специфический механизм работы с клиентами у Карабаса и я уже не помню как именно он по адресам админки узнавал кто продуктом барыжит. Кажется он давал билды на новые адреса, только если старые или не работали или палились кем-то из аверов. Ну не суть. В общем нюанс был в том что продукт передавал инфу на его сервер. Не выполнял какие-то задания или сливал инфу о ботнете. Нет. Просто свой адрес гейта.
Когда начался блэк Карабас сразу сообразил, что отвертеться не получится. Это был реальный залет. Обращение к третьему серверу/домену о котором не сообщалось клиентам. Ну и все. Блэк был 100%.

Не совсем понял почему вспомнился тот случай... Если вы про мой p.s. - то имелась ввиду Саламандра с ее убийством.
С остальным написанным вами полностью согласен. И времена были другие и люди.
p.s. с интересом перечитал собственный пост двухлетней давности. Как в воду глядел.
8
Общий / Мне флудят жабу.
« Последний ответ от Ar3s Августа 21, 2017, 10:03:52 pm »
Я просто открывал жаба-клиент сразу на 3-4 компах с хорошим каналом в сеть и нормальным процессором. На всех включал антиспам плагин и периодически менял вопрос на антиспаме. В итоге мои компы суммарным каналом были больше спамера и успевали килять весь трэшняк который лился.
9
Книги и мануалы / PowerShell Nishang
« Последний ответ от Ar3s Августа 21, 2017, 09:25:01 pm »
Можно в тэг код обрамить. Будет скролиться и не будет столь масштабным.
10
Web-программирование / Сохранение контакта через браузер на телефоне
« Последний ответ от Ar3s Августа 21, 2017, 09:16:03 pm »
<a href="tel:+1234567890"> Звоните нам бесплатно! </ a>
<a href="callto:12345678">Работает на iPhone и Nokia</a>
<a href="wtai://wp/mc;12345678">Работает на Android</a>
<a href="wtai://wp/mc;+123456789">международный формат для Android</a>
<a href="skype:test123">Skype</a>

Но я не понял самого сообщения. Это был вопрос или информация?
Страницы: [1] 2 3 ... 10