ועוד שאלה.. איך אפשר (אם אפשר) לכבות SAFE MOD בשרת שהעלתי אליו שאלל?
02/09/2007 15:56:41
T--As
ואללה לא מצאתי אתר מעוצב יפה + :P
בהצלחה
02/09/2007 17:07:01
L[s]D
תודה (:
02/09/2007 18:36:20
T0-R3ST
בשביל לכבות safe mode אתה חייב גישת ROOT. ואתר נחמד צבעים של פריקים :\
04/09/2007 11:07:14
SkOd
קוד:http://www.thegrave.net/search.php?age_min=1337+UNION+SELECT+1,2/*&age_max=
אני מניח שיש עוד..
04/09/2007 14:09:47
L[s]D
SK0D תודה, תיקנתי.. אגב.. למה אפשר להזריק אם כל המשתנים שעוברים בחיפוש מועברים דרך HTMLSPECIALCHARS ו MYSQL_ESCAPE_STRING?
04/09/2007 14:39:33
devil kide
במקרה הזה, שאתה מקבל רק נתונים מספריים-תסנן את כל התווים: קוד:<?php echo intval($_GET[’num’]); ?>
04/09/2007 17:38:23
ShaDoW MaN
וואלה לא מצאתי חורים.. מה הרעיון של האתר ולמה יש לו עיצוב של פריקים ועוד משהו ואם אני לא טועה קוראים לך יהונתן ..לא?[ההודעה נערכה על-ידי ShaDoW MaN ב-04/09/2007 17:40:11]
05/09/2007 21:40:42
L[s]D
לדויל קיד.. אני עשיתי את הקטע עם המספרים בכל האתר XD ומשום מה בחיפוש שכחתי.. אני דפוק.. אני עושה את זה עם IS_NUMERIC ולא עם הפונקציה שהבאת.. ולשאדו מן.. לא לא קוראים לי יהונתן..
05/09/2007 23:29:43
SkOd
היה לי משמעם אז עשיתי בדיקה די מקיפה
xss בתמונה רקע (IE6): קוד:java*script:alert(/xss/); (בלי ה * - פשוט יש פה הגנה מפגרת של צינזור מילים)
xss בצבע כתב: קוד:;xss:expression(alert(/xss/)) הדוגמה הנ"ל תעבוד רק על IE 6 ו 7. ניראה לי יש עוד דרכים שיעבדו גם על FF, תבדוק פה - http://ha.ckers.org/xss.html
xss ב - "הגדרת תמונה אישית" : שלח טופס POST ל קוד:http://www.thegrave.net/userpanel.php?act=pimg שהערך של "img" הוא: קוד:%22%20OnMouseOver=alert%28%2Fxss%2F%29%20xss=%22
עוד xss לא ממש מסוכן יש ב עריכת אימייל: קוד:xxx@xss"><h1>xss</h1>.com
ועוד אחד שלא מהווה סיכון ב cookies: קוד:username=xss
SQL Inj לא מצאתי, אלא אם בהודעת שגיאה שלך כתוב: "באמא שלך.. אל תנסה לפרוץ לפה, אני יותר חכם ממך"
שמחתי לעזור :)[ההודעה נערכה על-ידי SkOd ב-05/09/2007 23:34:23]
06/09/2007 16:08:17
L[s]D
תודה סקוד (: כל החורים נסגרו..
עמודים:
1