Эта статья написана для тех, кому хочется не только флудить чаты,
но и постепенно переходить к хаку.
Здесь я расскажу вам о том как сломать гостевую книгу или форум.
И так, начнем с хака гостевых книг.
В этом нет ничего сложного. Для начала вы должны проверить гостевую книгу на поддержку HTML-тегов, для этого просто впишите в каждое из полей формы вот эту конструкцию:
Теперь отправляйте форму. Если гостевая книга держит теги то вместо вашего сообщения должно появится несколько горизонтальных линий.
В этом случае мы просто берем и пишем в одном из полей формы нужный нам код. Вот так например можно сделать редирект с гостевой книги на нужный URL:
Вместо http://www.raidteam.by.ru вы должны написать URL на который будет переходить пользователь, зашедший во взломанную вами гостевую книгу...
Это был самы простой и приметивный случай...
А что делать, если гостевая книга не держит HTML-тегов ?
Из этого положения тоже есть выход. Вам надо найти поле "E-mail" или поле "Ваш сайт" в форме добавления нового сообщения гостевой книги, и вписать туда вместо мэйла(для "E-mail") или вместо адреса вашего сайта(для "ваш сайт") следующий код:
это мы вписываем для "E-mail":
sorex@hotbox.ru" style="font-size: 99
Это для "Ваш сайт":
http://www.raidteam.by.ru" style="font-size: 99
Теперь вы должны отправить форму и посмотреть что получилось, по идее должно было получится, что размер шрифта, вашего мэйла или URL сайта, должны стать 99 размера. Если это произошло, то гостевая книга всетаки имеет дыры.
Если вы думаете, что таким способом можно только изменять CSS текста, то вы ошибаетесь, вот реальный пример того, как вставить javascript код:
sorex@hotbox.ru" style="background-image: url(javascript: location='http://www.raidteam.by.ru)
В этом примере происходит переадресация на сайт www.raidteam.by.ru.
Надеюсь, что вы поняли как иметь гостевые книги. С форумами ситуация абсолютно такая, вы сначала тестите ворум на поддержку HTML-тегов, если поддержка есть то вставляете нужный код, если нет то вы используете второй способ, вместо мэйлы указываете вот этот код:
sorex@hotbox.ru" style="background-image: url(javascript: location='http://www.raidteam.by.ru)
И в заключении я хочу рассказать о том как защитить гостевую книгу и форум от взлома:
Главное что надо сделать это заменить эти символы на их код, см. ниже:
' на '
" на "
< на <
> на >
Для тех кто в танке, поясняю, вам надо прописать в скрипте, который лежит на сервере и обрабатывает отправляемые данные из формы, код, который будет заменять вышеперечисленные символы в каждом поле формы, на их код.
Автор [Sore X]
Опубликовал Kest
October 26 2008 13:38:19 ·
0 Комментариев ·
8450 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
