переписка с одним человеко,м который нашел на сайте: sps.fm дыры на XSS атаки, а в реале, в Twig пришлось добавить фильтр обрезки тегов с поддержкой тега img, после чего он якобы нашел икссс дыру =)))
------------------------------------------------
Павел?
26.11.12
Віталій11
26.11.12
ВіталійСможеш ломануть
http://sps.fm26.11.12
Говорят ты крутой хацкер? Даже перл знаеш
Павеля не хацкер далеко
26.11.12
Віталійну так ведь кричал ведь, у вас типа там дыра и там! Что, смог только попробывать XSS, а про инъекции забыл?
26.11.12
ПавелМне написал Олег что ты 50$ даешь, в течение часа я даю тебе код любого файла который ты скажешь
26.11.12
И 50$ оставляешь себе
На них купишь книгу по настройке сервера
По рукам?
ВіталійЯ те платить ни чего не собираюсь. А вот было бы очень круо если бы ты достал файлик один, предположим пройти по поиску и найти файл: User.php
26.11.12
Вот если сможешь дать код этого файла, тогда и поговорим!
ПавелПеречитай мое сообщение
26.11.12
мне денег не надо)
а если файл этот присутствует то в течение часа дам тебе код
ВіталійХорошо, буду очень благодарен!
26.11.12
ПавелНа сервере мемори лимит сюдя по всему 96?
26.11.12
Віталійэто ты окуда взял?
26.11.12
Павеля вопрос задал
26.11.12
а не взял от куда то
)
ВіталійНу можеш узнать, если хочешь
26.11.12
Павелвсе час пошел
26.11.12
засекай
Віталійok
26.11.12
Павелjohn1337:82afb0d67099a55d764d260dc1b648accfde5238
26.11.12
Дальше заморачиваться?
ВіталійИ что ты такое показал?
26.11.12
ПавелЭто данные к почте Евгения, на него офрмлен домен проекта и аккаунт в биллинге 2domains
26.11.12
sps.fm лежит на 2domains
ВіталійЗадача стояла достать код файла: User.php, путь к которому должен узнать ты. То что ты дал данные от какого-то биллинга - не значть что ты дал код файла!
26.11.12
У тебя осталось 30 минут =))
ПавелОк)
26.11.12
ВіталійНу как там? нужно еще пару минут?
26.11.12
ПавелСмотрю
26.11.12
Віталійдавай
26.11.12
Віталійскоро уже два часа пройдет, а ты всего лишь смог достать данные от домена
26.11.12
Павелну начнем с того что это уже многое)
а с сервером делаю, фтп вырублен тут проблема
26.11.12
Віталійну давай, ждем кода!
26.11.12
ВіталійТакс, уже 2 часа прошли, а ты смог достать только информационные данные, которые достать легче простого? Сколько тебе еще веремни нужно?
26.11.12
ПавелЯ отпишу сам
26.11.12
ВіталійМогу сделать подксказки, где есть опасные куски =))
26.11.12
ПавелНе спасибо)
26.11.12
ВіталійА, походу ждать тогда еще долговато!
26.11.12
Павелсам как нибудь)
26.11.12
ВіталійНу давай! Ждем до вечера, если же нет, вся твой маска ИП будет блокирована!
26.11.12
ПавелОк
26.11.12
Віталійhttp://comedoz.tv/твой сайт?
26.11.12
ПавелДа
26.11.12
А что?
ПавелИнтересная попытка)
http://prntscr.com/kn0wl26.11.12
ВіталійТебя зовут Павел?
26.11.12
ПавелНе заметно?
26.11.12
ВіталійМожно ведь и подругому подписатся! Сколько ты уже программируеш?
26.11.12
Павел4 года
26.11.12
ВіталійА сколько лет? И на каких языках?
26.11.12
Павелphp
26.11.12
база mysql
js немного
Я вообще просто любитель
ВіталійЕсли ты уже программируеш 4 года, то почему решил сайт написать на ВП?
26.11.12
ПавелА зачем мне делать собственную систему когда меня вполне устраивает wp?
26.11.12
Yii можно заюзать и сделать нормально
Но смысла не вижу
ВіталійА зачем делать свою систему? Ты хотя бы слышал о фраемворках Symfony 2.* Zend 2.*?
26.11.12
ПавелНет, меня устраивает Yii из фраемворков
26.11.12
Чувак я не задрот в этом плане)
Я делаю как считаю нужным
То что просят заказчики я делаю)
если не умею учу
Сегодян закончил делать блог для Алены Владимирской
Завтра приступаю делать сайт Джигурде
Потом Петру Листерману обновлять сайт
Заказы есть и ладно)
ПавелМой сайт на wp держит 300к хостов
26.11.12
Покажешь мне хоть 1 сайт подобный и чтоб держал с меня 3к
а насчет sps то я не сдался хоть и в час не уложился
ВіталійВот мне еще интересно, как же ты ломал систему. если все логи чистые? При поптыке получить несанкционнированый доступ к важным участкам системы, все программисты получает сразу уведомления о попытке взлома. Сегодня не было ни одного с твоей стороны
26.11.12
ПавелДа? LOL
26.11.12
Настрой сервер путем значит. Я около часа сканерами директории искал
ВіталійА, кароче все понятно....
26.11.12
Павел404 определение отклчи
26.11.12
чтобы сканеры не работали
ВіталійМой сайт на wp держит 300к хостов
1. Защита это не значит выносливость!
2. Можешь сканерами хоть сутками сканить, хоть даже целую вечность, ты никогда не найдешь ни одного системного файла =))
26.11.12
Если отключу 404 будешь получить 500 =))
ПавелРасскажи мне: зачем мне системные файлы искать?
26.11.12
они мне не интерсны)
ВіталійХорошо, какие файлы тебе интересные?
26.11.12
По задачи ты должен был найти файл: User.php
Ты этого файлы в жизни ни когда не найдеш, не имея прямой доступ к системе! Можешь попробывать даже на 1 год кинуть свой сканер. все равно не найдешь!
Павелне говори гоп)
26.11.12
ВіталійЭх......
26.11.12
ПавелТы меня наверное не понимаешь
26.11.12
Если ты закинешь файл в usr/
Конечно не найду
ВіталійТы же долен был сам ломануть систему и найти файл! Вот и ищи. Он ведь есть! Файл который отвечает за всех пользоателей системы
26.11.12
Ладно, дам тебе подсказку:
Файл находиться под namespace:
SPS\Bundles\UserBundle\Entity\User
Зная эти данные даже любой лол программист найдет файл!
ВіталійИ как там успехи?
15:19:13
Есть что то новое показать кроме попытки XSS и информационных даных?
ПавелНе занимался больше этим. После 12 буду смотреть
15:20:44
Віталійи каковы прогнозы?
15:25:29
таки нечего сказать?
ПавелПока нет
15:30:39
ВіталійЭх, так нахрена было вчера ****еть, что ты типа там косяк нашел, сможеш сделать XSS атаку, что через чаз БД нам нащу же покажеш? Как ты вообще смог бы это сделать, если твой же сайт мало того что на ВП, так и еще й не оптимизирован нигде?
Ты **** ****ел, что файл достанеш! Каким на*** образом? Может тебе еще ссш паблик кей от сервера скинуть? Да и то, навряд он тебе поможет! Сканил сайт на файл????? Аха, я ща лопну от такого придурка как ты! Изучи сначала стурктуру Симфони 2.1!
Еще там пздел что БД даш? Где она? И еще рассказывал какие мы придурки потому что пхпмайадмин открыта? А ты ломани ее! Слабо?
Если бы норм был программистом, то бы сразу по портам увидел. что серв работает на постгри + монгодб
В результате могу сказать следующее:
1. Ты человек, который хочет показать з себя какого-то крассного перца, но в результате нихрена не получается.
2. Делаеш то, что совсем не умееш делать
3. Такие программисты как ты называються - "ГОВНОКОДЕР"
4. Ставишь себя выше туалетной бумаги
P.S.
удачи тебе говнокодер в твоем не легком труду!
15:38:54
ПавелСмешной ты:)
------------------------------------------------
Вот такие и люди в мире бывают, к сожелению ((
Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
|