next »

[hydrarulz]

ca faceau oamenii misto de mine ca dau cu flood am zis sa testez si linuxsoft
xss: http://www.linuxsoft.ro/forum/gallery_view.php?path=gallery/111_13_11_07_8_36_34.jpg%00'%3E%3Cscript%3Ealert(String.fromCharCode(119,119,119,46,119,101,98,115,101,99,117,114,105,116,121,46,114,111))%3C/script%3E

o sa mai testez.

[hydrarulz]

no comments ?
oblio hai un banner e><change

[Saltwater]

Damn ... opera de mai sus imi apartine ... am verificat calea de pe server si toate alea alea alea dar am sarit partea cu XSS-ul ... eram mai pe la inceputuri cand am scris chestia aia iar scriptul e destul de vechi ...

Initial era si mai nesigur ... Awaiting new orders from oblio ...

[oblio]

Maestre Saltwater, ai ultimele surse puse pe site. Trebuie doar actualizate si trimis patchul

[Saltwater]

Nene ... eu sunt la servici ... nu am nimic ... notebook de acasa e inchis pentru ca in caz contrar intram prin ssh si luam sursa. Acasa este deschis doar file serverul care momentan e chel si in curs de configurare pentru ca e o masina noua ...

[oblio]

Pai n-a zis nimeni ca trebuie in 5 secunde, ca noi nu suntem Microsoft, sa aruncam cu patchurile imediat ce gasim vulnerabilitatea

Voiam doar sa spun ca nu am modificat nimic in galerie, asa ca ultimele surse primite de tine sunt cele actuale, de pe server. Asa ca, atunci cand doresti, poti modifica cu incredere sursele tale - sunt ultima versiune

[Saltwater]

Code:

$find_me="%";
$pos=strpos($image, $find_me);
if (strlen($pos)!=0)
{
die("Invalid Image!");
}

Nene oblio ... eu am hardcodat niste filtre in ultima versiune a scriptului care era considerata sigura fara de cea initiaia (si care cred ca se afla in prezent pe site) ... asta e unul din ele ... din moment ce URL-ul lui hydra contine acest caracter ... nu ma simt complet vinovat de situatie. Stiam eu anumite motive pentru care insistam sa fie updatat. Anyway, o sa il patchuiesc si mai puternic de atat.

Intre timp am mai invatat si niste RegEx, deci pe langa filtrele de mai sus, o sa bag si un match pentru pattern-un numelor de fisiere.

[oblio]

Nenea haxor, foarte apreciata contributia ta. Daca gasesti altele, sa ne anunti, eventual facem un concurs

Între timp, maestrul Saltwater a furnizat ultima versiune a patchului (well done!  ). Hydrarulz, te invit să încerci iar

[hydrarulz]

mai exista o vulnerabilitate de genul session fixation in forum. din greseala am descoperit-o cu ajutorul lui gheorghe.
nu se regenereaza sesiune noua la logare. am fost admin pentru un timp.
repet, din greseala

ahh, si tipul de vulnerabilitate gasit in bash mi-a marit traficul pe site de 4 ori si mi-au crescut referintele catre site.

[hydrarulz]

csrf in sistemul de votare bash. nu este grav, dar se poate face eficient.
pentru tutorial csrf cautati pe google "csrf tutorial" site-ul meu e primul

[oblio]

Pentru bash trebuie vorbit cu Johan, dacă e prin preajmă

PS: Aş muta discuţia la Moderare, nu-mi place că e "publică". Ai acces să postezi acolo, hydra?

[gheorghe]

SECURITY THROUGH OBSCURITY?

[~Empathy~]

Corect gheorghe. Oblio are mentalitate corporatista .

[unixlust]

Normal ca trebuie facute public discutiile despre securitate. Asa fac toti cei care se respecta.

[gheorghe]

Da, normal. To hack our forum do this:... acum hai sa-l reparam, probabil mai dureaza vreo 2 zile sau ceva ca e nustucine ocupat, deci daca vreti sa ne spargeti, go ahead