Воспользовавшись найденой дыркой получил доступ на один форум как администратор. Это мой ПЕРВЫЙ форум. Единственная цель которая преследовалась при этом, попробовать на практике взлом. Ну получилось, ну есть у меня пароль админа, а дальше что? Портить кому-то форум глупо и бессмыслено. Поэтому хочу расказать о дырке админу. Но не просто расказать что исправь там и там, да и нету еще таких знаний, знаю только параметр который не фильтруется и имя скрипта через который была сделани иньекция. Есть желание чтобы админ сам нашел дырку и залатал. Как правильно расказать про уязвимость. С намеком если не исправит то... (что?) Короче хочу предупредить и незнаю как. З.Ы. Может кому интересно могу дать ссылку на сайт. Или так не делают?
Red_Red возьми просто да напиши в личку что нашел багу в форуме и напиши где нашел,т.к. мож быть человек занятой и ему не до того где ты нашел багу просто помоги человеку и усе!
если хочешь помочь исправить баг, то просто напиши о нем админу, думаю он будет тока благодарен.. и убери отсюда ссылку на форум..
"Дружественный" деффейс сата (подмена ток index нечего не портя) заставит админов задуматься и поискать багу))) А просмотрев внимтельно логи, не составит труда ее найти!
Всем спасибо за ответы. Осталось только пару вопросиков которые возникли у нового в этом деле человека в процессе обсуждения. Итак с Вашего позволения 2 Digimortal. Мой непродолжительный опыт работы с интернет и опыт виртуального общения не позволяет понять почему в чатах, форумах или еще где не всегда можно давать ссылки на тот или иной сайт? Вот и здесь когда писал ссылку одолевали сомнения стоит так делать или нет. Попросили убрать. НО ПОЧЕМУ? Есть какието нормы, или неписаные законы. Это всегда было загадкой для меня. Может теперь получу ответ почему в этой ситуации нельзя оставлять ссылку. 2 Bayazid. А ты нашел что-то на сайте? Мне интересно как действует человек с большим опытом. Я ковырялся дня два, паралельно разбираясь с теорией sql иньекций и поиском инфы в сети. Это мое первое практическое достижение . В процесе исследования получил массу новой информации и навыков. После я понял что это так просто что можно было сделать за 2 минуты знающему человеку. Хотелось бы коментариев профи по поводу этого форума если не трудно, а может кто еще заходил? 2 nc.STRIEM А если админы не чешуться то и плюнуть на них? Оно ведь не мне надо. Но остаеться у новичка капля (оччеень маленькая) разочарования. Что то сделал, а результата ноль и никому твое "хакерство" не мешает ни кому ни холодно не жарко всем пофиг. Как избавиться от этого чувства (о блин завернуло меня).
а ты чего хотел, чтоб тебе медаль выдали? =) На самом деле, почему, собственно, результата 0? Ты ведь научился чему то, приобрел некоторый опыт.. а админы сайтов часто и спасиба не скажут, когда оповещаешь их об уязвимостях на сайтах. А насчет ссылки.. собственно, никаких неписаных правил не существует =), и ты можешь выкладывать ее тут скока влезет, просто мне подумалось, зачем выкладывать ссылку на уязвимый сайт, если ты не желаешь нанести этому сайту вреда..
Кусок сайта закрыли. Может правят. Вскоре увидим новую версия я надеюсь исправленную. Хотя пароли в формуме не все сменили. Только админ. Вот и результат! Ну и спасибо сказали. Я доволен может помог кому!
молодец! ты прям альтруист!!!))) герой!! а так вообще жалко что таких как ты мало. а то бы лично был бы не против если бы кто мне указал дыру в моём форуме...
