Ваши вопросы по уязвимостям.

Дружище, не нужно советовать новичкам работать с Гетом. И уж тем более не нужно исправлять нормальные сплоиты для работы через гет. Можно было объяснить, как отправлять пост данные в таком случае.
А то потом получаются недохакеры и баги нормальные палятся админами после таких чудесных доработок

 

Уважаемый. Я очень сильно сомневаюсь, что нормальные администраторы забыли пропатчить свою CMS, после того, как опубликовался сплоит на милворме, а после этого, ты хоть пост, хоть гет, хоть через сессию юзай сплоиты и шелы.

И потом:
<title>Форум АНТИЧАТ - безопасность WEB - интерфейсов</title>
По-этому здесь должны советовать не только как заюзать паблик сплоит, что бы админы не узнали о критической уязвимости а еще и советовать как это дело поправить

Не путай паблик и приват

 

Просканировал один форум черех Xspider 7.5 выдало куки подскажите с ними можно чтонить зделать вот они:
1. snwfoum_u=1; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
2. snwfoum_k=; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly
3. snwfoum_sid=6743b15f8fe25caed4d19aeb436c49a3; expires=Fri, 12-Nov-2010 11:54:05 GMT; path=/; domain=forum.snw.ru; HttpOnly

 

Молодец, ты получил доступ к гостевым кукам, которые сайт устанавливает для любого посетителя

 

нет.

 

аналогично посту на котором постил вчера(нестандартный скул), вот еще одинь но теперь MySQLi.

Code:

http://www.mytradingrobot.com/amember/signup.php?product_id=1')&paysys_id_not_required=&paysys_id=free&[email protected]&[email protected]&email=sample4%40email%2Etst&login=Jottiorg&[email protected]&[email protected]&do_payment=1&[email protected]

выдает:

прочел статьи Elekt и kot777 не помогает. Помогите раскрутит

 

Есть еще уязвимость называется SQL иньекция как ее юзать ктонить знает???Или есть какая-нибуть прога для кражи куки с форумов?На ютубе видел видео как крали через какуюта прогу!!!

 

А про XSS можно по подробнее как красть или где можно почитать???В гугле полазил толком ничего не нашел(((

 

http://forum.antichat.ru/thread20140.html

на несколько строк ниже трудно было посмотреть?

 

нужна отдельная софтина для поиск админок, встроенных внутрь других не устраивает(типа SQLhelper)

 

http://security-digger.org/

или мой сканер директорий. https://hashcracking.info/forum/viewtopic.php?f=17&t=392

 

А как через онлайн сниффер увести куки???Точнее через этот снифферhttp://hacker-pro.net/sniffer а то чето я протестил прошел по своей ссылки, а там написан ип мой и откуда перешел.Куков я чото найти не могу(((

 

в ксс отсылаешь куки на снифер, что сложного, тебе же дали статью, подумай наконец в первый раз в жизни СВОЕЙ головой САМ.

 

ребята вы на это тоже посмотрите а то так и завалится под тупых вопросов

 

Как защититься от XSS?

 

учить матчасть

 

Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.

 

Теперь надо разобратся как переделать свою XSS с запросом на сниффер))))

 

йасно

 

Не самый лучший выбор, особенно если фильтруемое значение потом размещается где-нибудь в виде ссылки, например на форуме vbulletin