Популярное- Новинки
- Горячие новинки
- Аудиофанфики
- Все фанфики
- Рекомендации
- Коллекции
- Заявки
- Конкурсы
- Фанфик в файл
- Таблица переводов
- 0
Включить тёмную тему - Справка по сайту
Популярное Включить тёмную тему
 #фанфикс
Сегодня ранним утром очередной (возможно) умный человек со склонностью к противоправным действиям проверил сайт на уязвимости. И он их даже нашел. Во-первых, он выяснил, что можно подписаться на несуществующего пользователя. Это никому не повредило, и теперь так нельзя. Но ещё он наткнулся на ошибку в коде, которая всем пользователям сайта обнулила пол и дату рождения. Ошибка устранена. Пол и дата рождения восстановлены по бэкапу от сентября 2019, который был у меня под рукой в распакованном виде. Сейчас я занимаюсь распаковкой вчерашнего бекапа (вытащить два поля одной таблицы из бэкапа всего сайта - это не быстро), вскоре всё вернётся в норму для всех пользователей. 12 февраля 2020
53 |
 |
|
|
ReFeRy
какая прелесть))))) |
|
 |
|
|
ReFeRy
Два часа назад пол был мужской) Минут сорок назад - пол ко мне вернулся, дата рождения была на месте. Сейчас - ни пола, ни даты. 3 |
|
|
ReFeRy Онлайн
|
|
А вот это уже неприятненько :(
1 |
|
 |
|
|
Я у себя уже дату исправил, а то, что у Тыквика совпадают даты рождения и регистрации - это не баг, а фича :-)
2 |
|
|
ReFeRy Онлайн
|
|
Оно всё продолжает лазить по сайту. Значит правку профиля я ещё не полностью обезопасил.
|
|
 |
|
|
Хм... Как это вообще возможно-то?
|
|
 |
|
|
1 |
|
 |
Дoлoxов Онлайн
|
|
Styx
SQL-инъекция, не? |
|
|
|
|
Дoлoxов, как вариант, но тогда бы это была вообще жопа, а не просто "можно менять кому угодно пол и дату рождения".
|
|
|
ReFeRy Онлайн
|
|
Styx
Хм... Как это вообще возможно-то? Честно говоря, я так и не понял. В скрипте изменения основной информации профиля была ошибка, но она позволяла только лог mysql-ошибок забивать. Никакого "зловредного" запроса выполнить всё равно не удалось бы. А вот чтобы пройтись по всей таблице без условия... я уже ВСЕ запросы к нужной таблице просмотрел, нет ничего подходящего под эту задачу :(Но это и не инъекция... |
|
|
|
|
ReFeRy, если не понял — не факт, что пофиксил...
|
|
|
Дoлoxов Онлайн
|
|
Не разбираюсь в теме, но все же.
ФФ размещен на ngnix? https://threatpost.ru/php-fpm-vuln-allows-attackers-to-hack-nginx-server-remotely/34665/ Плюс, не знаю, играет ли это роль, но серверное время на ФФ отстаёт от московского на пару минут |
|
|
|
|
Дoлoxов, пф, до этих уязвимостей фанфиксу ещё расти и расти:
Server: nginx/1.10.3 X-Powered-By: PHP/5.3.3 |
|
|
Дoлoxов Онлайн
|
|
Styx
Лол |
|
|
|
|
Дoлoxов
The buffer underflow in php-fpm is present in PHP version 5. However, this exploit makes use of an optimization used for storing FastCGI variables, _fcgi_data_seg. This optimization is present only in php 7, so this particular exploit works only for php 7. There might be another exploitation technique that works in php 5. И в 5.3 этих эксплойтов — выше крыши :) |
|
 |
|
|
Пол по умолчанию мужской, да ещё и, небось, единица или true. Реф, феминистки тебя уничтожат.
|
|
|
|
|
1 |
|
Включить тёмную тему
VKontakte
WhatsApp
Telegram
Отключить рекламу
