Разработка сайта в действии: скрины и эксплоиты
Здесь будут публиковаться интересные эксклюзивные материалы, связанные с историей и развитием сайта.
На текущий момент уже есть три раритета:
- Снимок экрана, сделанный spinore'ом: браузер с полученнми администраторскими полномочиями (вскоре будет выложен для общего доступа).
- Снимок экрана, сделанный spinore'ом: браузер с чередующейся авторизацией (spinore с правами Serghan и Serghan с правами spinore, MD5 хеш файла: 80a054b5b0d59ed3b67c13b2d849191f, по мотивам этой темы).
- Само это сообщение :-)
И, пожалуй, этот список ещё пополнится ;-)
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 10 документов: 1 редакций: 1
А вот оно и долгожданное дополнение! :-))) Вносим его в историю.
На этом сообщении показан визуальный улучшенный обход диагностики, который проверять прийдётся уже только ключом истиного unknown'а: 02B8 F1C5 A4FA 9B71, а иначе подмену не распознать.
комментариев: 10 документов: 1 редакций: 1
Все рабочие на текущий момент эксплоиты на движок, удалённую копрометацию сайта, скрины с перехватом моей сессии и подделкой моей подписи (или ключа) публикуем в этом топике, чтобы я мог дорабатывать их и поддерживать в рабочем состоянии.
комментариев: 2 документов: 0 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
SATtva, реализуйте то что я сказал:
перед отправкой сообщения и перед регистрацией никак проверяете новый ник: пусть он даже содержит кириллические символы, но они не сводятся к подмене букв как выше сделано относительно какого-либо из уже существующих ников, и всего делов-та...
P. S.: вы же понимаете что публиковать хэши ников не выход? Можно конечно вообще отменить ники и использовать только хэши :-) (шутка)
комментариев: 11558 документов: 1036 редакций: 4118
засрализагадили. (Где-то spinore недавно предлагал провинившихся в chroot сажать... пара кандидатов у меня уже имеется.) Что с этими комментариями теперь делать будем?комментариев: 1515 документов: 44 редакций: 5786
комментариев: 1515 документов: 44 редакций: 5786
Был рад стараться!
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Проверил, точно не похожи, не виноватая я:
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
дело же не в конкретных комментариях, как вы понимаете. А что касается проверки на схожесть – так на некоторых форумах типа linux.org.ru где слишком много юниксоидов с длинными руками уже давно есть встроенный проверщик на похожесть ников при регистрации. Например, если spinore уже зареган, то spinore123, ssspinore, s-p-i-n-o-r-e, s.p.i.n.o.r.e, sppinore уже не проканают при регистрации. Там какая=то хитрая распознавалка. поидее такой алгоритм на критерий похожести должен быть стандартом на форумах. Надеюсь сейчас всё всё понимают. Левые коменты можно потереть, остаить только несколько чисто для демонстрациии.. для истории так сказать.
А вообще, это всё из-за mellon который под моим ником опубликовал сообщение под гостём. Вы тогда, SATtva, сразу сказали про хэши ников и на этом всё кончилось. Если я не ошибаюсь, вы на тот менмент не понимали во что это может быть гипертрофировано в случае атаки. Собсно, я показал.
комментариев: 1515 документов: 44 редакций: 5786
Да я б сам исправил если б умел программировать :-) Как вы пришли я больше не гадил :-)
P. S.: ну за неделю поди исправим?
P. P. S.: я там по разным топикам много по существу ошибок выловил, нареканий, недочётов... Вы внимательно читайте, надо всё это вычищать и исправлять, баги в смысле. Что от меня зависит я делаю.