Для начала всем привет!!! Дело в том что админы на моём сервисе жалуются и даже возникают конфликты на то что с вашего сайта взламывают их чаты, а точнее вытаскивают пароли администрации чата и т.д. Если это действительно так и здесь есть такой человек который взломал один из чатов, прошу помочь закрыть дыры. Несколько раз проверял скрипт на дырявость ничего не нашёл! Буду признателен за помощь!!
Чтобы убереч свой чат от подобного рода взломов, нужно метод get сменить на post, для того чтобы урл в админке не состоял из логина и пароля ...
Там возможно но админ чата http://mpchat.com/magiclovechat утверждает что взлом проходит через форму возвращения пароля.. Но там дыры я ненашёл. Кто ломал чат http://mpchat.com/magiclovechat прошу обратиться ICQ: 106096 [email protected]
Да, мыло у него тоже взломали, на яндексе, но он говорит что взломали чат, узнали пароль а потом взломали и мыло (так как пароли одинаковы), но мне кажется было как раз наоборот! Кстати Метод Гет оставил но зато поставил вместо пароля ссесию и проверку по ип!
Если кому интересно могу тока написать как отправлять сообщения от чужого НЕ ЗАРЕГАННОГО ника который сидит в чате!
пофиксили все они... единственное не проверял у них еще была фигня при выходе там xss прокатывала при выходе.... именно на той странице на которую кидает при выходе но повторюсь все это было давно щас заниматься этим мпчатом нет даже желания
