Нашёл XSPIDER-ом следующие уязвимости на сайте.Скажи как получить полный доступ к файлам?Хочу сайт стырить со всеми файлами включая Php и MYSQL. Вот найденные мной уязвимости! Уязвимость Доступ к директориям на просмотр Описание Директории доступные для просмотра: /icons/ /upl/im<b> Решение Закрыть доступ к директориям для просмотра, если он действительно не нужен. Уязвимость Http прокси Описание Возможность использования этого сервиса посторонними пользователями в качестве http прокси сервера. Проверка анонимности выявила следущее: анонимность IP адреса не соблюдается анонимность браузера не соблюдается анонимность Cookie не соблюдается анонимность Refer не соблюдается анонимность дополнительного параметра не соблюдается Решение Закрыть доступ к этому сервису для неавторизованных пользователей Доступна информация Список cookie Описание Список cookie установленных сервером: 1. PHPSESSID=5f123eead52dd8103fdcd147732f32c0; path=/ Доступна информация Доступен метод TRACE Описание С помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг. Решение Запретить выполнение этого метода. Ссылки Cert (VU#867593): http://www.kb.cert.org/vuls/id/867593 http://www.cgisecurity.com/articles/xss-faq.shtml http://www.extremetech.com/article2/0,3973,841144,00.asp Доступна информация Ссылки с параметрами Описание Список ссылок найденных на веб-сервере, которые используют какие-либо параметры: /inc/forumas/viewtopic.php?t=1219 /inc/forumas/viewforum.php?f=17 /indexmain.php?144/ /inc/toppage.php? /inc/topimg.php? Доступна информация Список почтовых адресов Описание Список почтовых адресов найденных на веб-сервере: webmaster@vzlom_saita.com Доступна информация Доступ к директориям Описание Доступные директории: /forumas/ Доступна информация Директории с авторизацией (Basic) Описание Директории требующие авторизацию (Basic) : /usage/ Доступна информация Недоступные директории Описание Cуществующие, но недоступные директории: /cgi-bin/ /error/
-=lebed=-, жжош Прога подсказывает в каком направлении можно работать, но она не говорит ведь "шелл тут". Когда я был маленький, я подключался по диалапу по test test и начинал сканить серв провайдера и очень радовался, когда выдавалась "возможна дос атака". Эх... какие были времена
Сори за оффтоп, но это мой любимый автор. Его наиболее замечательные топики - https://forum.antichat.ru/showthread.php?t=13622 - Дима чинит компьютер https://forum.antichat.ru/showthread.php?t=13643 - Дима определяет свой http https://forum.antichat.ru/showthread.php?t=13297 - Дима ищет компилятор https://forum.antichat.ru/showthread.php?t=9498 халявный айпи
Почитал темы Я падстулом Тоже сорри за оффтоп, наверно эту тему потом тоже будет надо куда нибудь в раздел юмор..
Парень, думаю тебе поможет вот что. Навык вора 150% как минимум, крадучесть тоже, ну и конечно взлом. Воопщем убивай когтей смерти, ищи гекк и качайсо. Ароййо тибя низабудет. А ещё можешь купить самую полную версию паука (200 с чем то к рублей вроде). И повтори сканирование. Результат будет повнушительнее.
Ну вот смотри смайлики щитай уже у тя в кармане. Остальное...Жми на кнопку \"взломать сайт\" в XSpider\'e. Но такая кнопка есть тока в FULL версии. Если у тебя Демо, то пока качай смайлы, а там по обстоятельствам.
Ваше сообщение тоже является своеобразным флеймом Так-что... Вобщем - автору - минус дал бы, если бы смог, а вообще XSpider не используется для нахождений уязвимостей в сайтах, если кто не знал... Тему можно закрыть, я так думаю.
1. Доступ к директориям на просмотр Смотри, может что интересное будет. Возможно сайт уже взломан и где-то там будет шелл. 2. Возможность использования этого сервиса посторонними пользователями в качестве http прокси сервера. Можно использовать уязвимый скрипт на сервере как прокси, например: http://site/bag_script.php?http://mail.ru 3. Доступен метод TRACE Если на сайте есть ХСС уязвимость, они будут работать. А они обычно всегда есть. 4. Список ссылок найденных на веб-сервере, которые используют какие-либо параметры: Форум. Проверь версию, возможен взлом. 5. Список почтовых адресов Пошли трояна. 6. Директории с авторизацией (Basic) Попробуй подобрать пароль.
