Dokonaj ataku - wygraj 4-pak Żubra, www.sierzanski.pl Opcje

[misiuziu]

Witam

W związku z tym, że tyle osób twierdzi, że moje strony są narażone na mnóstwo ataków (konkretnie to w tym temacie ) ogłaszam konkurs.

Zasady są proste:
1. Dokonaj włamu tę stronę lub na którąś, która znajduję się w moim portfolio.
2. Włam ma być na tyle niegroźny, żeby jego skutki można było w miarę szybko usunąć.
3. Po dokonaniu włamu, należy odpowiedzieć w tym temacie wpisując w treści posta "Dokonałem włamu" oraz wysłać szczegóły na priv do mnie.
4. Trzeba dokonać włamu, a nie ukazać błędy, którymi strona rzuca podczas próby ataku (jedna ze stron nie jest zrobiona elegancko, stąd te błędy).

A teraz nagroda - jest to 4pak Żubra - albo jego równowartość. Póki co chętnie wręczę nagrodę osobiście o ile będzie to miało miejsce w Szczecinie. W przeciwnym wypadku wyślę na konto równowartość 4 piw (12zł).

Zapraszam do próbowania.

Ten post edytował misiuziu 22.09.2009, 13:00:20

[nospor]

Dowciapny jestes.... najpierw poprawiłeś błędy a potem walisz byśmy cię zhakowali i udajesz jeszcze wielkie oburzenie... normalnie gryps się ciebie trzyma niesamowity.

No ale muszę Cię zasmucić. XSS poprawiłeś ale sql injection jak było tak jest.

Gdzie? Poszukaj sam. Jakbyś na początku na PW poprosił to bym ci za darmo powiedział co masz nie tak. Ale tymi 12 złotymi i wielkim oburzeniem to mnie rozbroiłeś... negatywnie.

[misiuziu]

Hmm każde odwołanie się do nieistniejącego pliku powoduje przekierowanie na zawirusowaną stronę ;]. Zmień to...

Wina hostingu - już do nich napisałem.

PS: w tym sklepie - http://www.aura.szczecin.pl w index.php w 6 linijce masz błąd w htmlspecjalchars() (IMG:style_emoticons/default/smile.gif)

Był tylko chwilę - poprawiałem to, co zauważył Spawnm.

OK jeśli chcesz dziure (IMG:style_emoticons/default/winksmiley.jpg) to masz sklep podatny na SQL INJECTION

Któryś raz to już słyszę i nie widzę jak. Po to ten konkurs. Żeby mi otworzyć oczy na to, co robię źle. Skoro twierdzisz, że jest możliwy taki atak to go przeprowadź.

Dowciapny jestes.... najpierw poprawiłeś błędy a potem walisz byśmy cię zhakowali i udajesz jeszcze wielkie oburzenie... normalnie gryps się ciebie trzyma niesamowity.

Co do dowciapnośni - przypomniał mi się stary kawał, ale nie będę go opowiadał, bo pewnie wszyscy znają.

Poprawiłem następujące błędy - sprawdzanie formularza kontaktowego na homepage - w dużej mierze przez wiadomości, które wysyłali użytkownicy testując to w poprzednim temacie. Poprawiłem również błąd, który znalazł Spawnm w tym temacie. Nic więcej nie poprawiałem.

No ale muszę Cię zasmucić. XSS poprawiłeś ale sql injection jak było tak jest.

Tak? Pokaż. Nie wierze.

Gdzie? Poszukaj sam. Jakbyś na początku na PW poprosił to bym ci za darmo powiedział co masz nie tak. Ale tymi 12 złotymi i wielkim oburzeniem to mnie rozbroiłeś... negatywnie.

Szukałem. Nie jestem w stanie znaleźć możliwości sql injection, nawet znając i widząc skrypt. Po to ten konkurs. Mówicie, że strona nie jest zabezpieczona pod tym względem, a nie pokazujecie. Jak na razie są to tylko puste słowa.

A nie zapytałem w PW na początku, bo wcześniej ten sam błąd zauważył Spawnm. Do niego napisałem i chciałem poprawić, ale okazało się, że nie mam czego.

Pokażcie klasę, pokażcie możliwość włamania robiąc to. Na razie ostrzymy sobie tylko języki.

I jeszcze raz podziękowania dla Spawnm.