Ru-Board.club
← Вернуться в раздел «Тестирование»

» Забаненные юзеры (часть 2)

Автор: RussianNeuroMancer
Дата сообщения: 06.12.2006 10:33
AlexRub
http://forum.ru-board.com/topic.cgi?forum=35&topic=24749&start=900
внизу и вверху следующей страницы
http://forum.ru-board.com/topic.cgi?forum=42&topic=0314&start=180#11 до конца страницы
Автор: RedKrasik
Дата сообщения: 06.12.2006 10:34
AlexRub
Полазь по последним его сообщениям. Один мат и оскорбления.
Автор: survvb
Дата сообщения: 06.12.2006 10:55
RussianNeuroMancer
да стопудово точно..
http://forum.ru-board.com/topic.cgi?forum=42&topic=0314&start=180#19
Автор: Viewgg
Дата сообщения: 06.12.2006 11:38
Между прочим, пароль у Вертекса уводят уже не в первый раз! На моей памяти это второй случай!
Автор: RedKrasik
Дата сообщения: 06.12.2006 12:53
Viewgg
Видно часто выходит не со своего компа и забывает убрать там пароль или выйти.
Автор: makena1
Дата сообщения: 06.12.2006 16:50
Viewgg

Цитата:
Между прочим, пароль у Вертекса уводят уже не в первый раз! На моей памяти это второй случай!

Не помню...вроде этот первый.
Подозрительно то, что чел который его акк подрезал, сознательно выводит на бан.
Видать, какой-нибудь наш забаненный ушлепок.
Автор: BEndER Tech
Дата сообщения: 06.12.2006 17:04
makena1
а зачем иначе акк угонять?
чтоб потом его вернуть???
Автор: Agent_SMIT
Дата сообщения: 06.12.2006 17:16
makena1

Цитата:
Не помню...вроде этот первый.

Это не первый, я тоже помню тот... Было.
Автор: tumber
Дата сообщения: 06.12.2006 17:31

Цитата:
Видно часто выходит не со своего компа и забывает убрать там пароль или выйти.

Думаю, дело в этом. Если выходил, например, из какого-то клуба, и забыл разлогиниться, то все, кранты.
Автор: konik
Дата сообщения: 06.12.2006 17:43

Цитата:
Если выходил, например, из какого-то клуба, и забыл разлогиниться,
похоже на правду.

Интересно, а вставка в страницу некоей "картинки" кодом или просто кода может утянуть кукисы, чтоб их поюзать? Ну, как с древним случаем с алекс.иппом?
Просто, если это кто-то из местных бывших, то скинуть где-нибудь в юморе/варезе/, или где угодно еще ссылку на свою страницу с таким кодом можно было именно с целью угнать акк кого угодно, кто зайдет почитать
Автор: Viewgg
Дата сообщения: 06.12.2006 17:56
Случай второй, до этого один раз ему, кажется, просто поменяли пароль, пришлось ему делать новый ник - vertex_temp. Могу дать ещё подтверждения, если нужно. И если не ошибаюсь, какой-нибудь из местных забаненных тут вроде ни при чём...


Цитата:

Интересно, а вставка в страницу некоей "картинки" кодом или просто кода может утянуть кукисы, чтоб их поюзать?

Это, кажется, называется XSS-атака, возможна за счёт дырки в коде форума; чтобы сделать такое на форуме, надо всобачить HTML-код в страницу. На своём же сайте можно такое сделать элементарно стандартными функциями яваскриптов, и ничего тут не сделаешь.
Автор: konik
Дата сообщения: 06.12.2006 18:25

Цитата:
Это, кажется, называется XSS-атака, возможна за счёт дырки в коде форума; чтобы сделать такое на форуме, надо всобачить HTML-код в страницу.
нет, я именно о коде на странице, на которую дан линк с форума. Напр, "там остальные хохмы", или "ключики распространяются тут", или "онлайн генератор ключей", или ..
да что угодно, неужель трудно приманку придумать?
Автор: Cheery
Дата сообщения: 06.12.2006 19:04
konik

Цитата:
нет, я именно о коде на странице, на которую дан линк с форума. Напр, "там остальные хохмы", или "ключики распространяются тут", или "онлайн генератор ключей", или ..
да что угодно, неужель трудно приманку придумать?

нельзя так увести куки.. только если js скрипт выполняется на стороне сервера.
Автор: konik
Дата сообщения: 06.12.2006 19:30

Цитата:
На своём же сайте можно такое сделать элементарно стандартными функциями яваскриптов,

Цитата:
нельзя так увести куки..

Автор: Cheery
Дата сообщения: 06.12.2006 19:33
konik

Цитата:
На своём же сайте можно такое сделать элементарно стандартными функциями яваскриптов,

на твоем сайте не будут доступны куки с другого сайта
Автор: Viewgg
Дата сообщения: 06.12.2006 19:53
Cheery
Я не очень хорошо в этом разбираюсь, так что прошу прощения, если вру, но, насколько я знаю, делают так: пишут яваскрипт, отсылающий cookies клиента на сервер злоумышленника, где какой-нибудь PHP-скрипт их обрабатывает. Вроде так?
Автор: Cheery
Дата сообщения: 06.12.2006 19:57
Viewgg

Цитата:
Я не очень хорошо в этом разбираюсь, так что прошу прощения, если вру, но, насколько я знаю, делают так: пишут яваскрипт, отсылающий cookies клиента на сервер злоумышленника, где какой-нибудь PHP-скрипт их обрабатывает. Вроде так?

да, это в случае кросскриптинга.. но как я и сказал - для этого должна быть возможность выполнения js на стороне сервера с куками.. именно поэтому у нас нельзя вставлять свой js и тому подобное.
Автор: BEndER Tech
Дата сообщения: 06.12.2006 20:01
Cheery
а всегда пароли в кукизах хранятся?
Автор: Cheery
Дата сообщения: 06.12.2006 20:03
BEndER Tech

Цитата:
а всегда пароли в кукизах хранятся?

нет.. иногда просто хранится хэш либо уникальный id
Автор: Viewgg
Дата сообщения: 06.12.2006 20:03
Cheery

Цитата:
именно поэтому у нас нельзя вставлять свой js и тому подобное

Это кому нельзя, а кому всё можно!
Так ведь злоумышленники обходят ограничения на всякого рода HTML...

Цитата:
но как я и сказал - для этого должна быть возможность выполнения js на стороне сервера с куками..

Угу, спасибо за пояснение.
Автор: Cheery
Дата сообщения: 06.12.2006 20:05
Viewgg

Цитата:
Это кому нельзя, а кому всё можно!

тем, кому можно, такие вещи нафиг не нужны.


Цитата:
Так ведь злоумышленники обходят ограничения на всякого рода HTML...

и когда это было в последний раз?
простейшая вещь - замена всех < на их html коды в сообщениях и все.. никакой js не запустится
Автор: KADABRA
Дата сообщения: 06.12.2006 20:13

Цитата:
и когда это было в последний раз?

Недавно
Автор: Cheery
Дата сообщения: 06.12.2006 20:14
KADABRA

Цитата:
Недавно

точнее
Автор: KADABRA
Дата сообщения: 06.12.2006 20:16
Cheery
На пример, когда добавили тег [chess].
Автор: Cheery
Дата сообщения: 06.12.2006 20:18

Цитата:
На пример, когда добавили тег [chess].

ну я за этим не следил..

при реализации новых вещей всегда может подобное возникнуть. со старыми же, обычно, все уже обследовано
Автор: KADABRA
Дата сообщения: 06.12.2006 20:22

Цитата:
ну я за этим не следил..

Да я тоже случайно заметил

Цитата:
при реализации новых вещей всегда может подобное возникнуть.

Скорее так - возникает в 80% случаев.

Цитата:
со старыми же, обычно, все уже обследовано

Практически всегда можно найти что-то новое.
Да и есть такие вещи, от которых защита сейчас не предусмотрена (я имею ввиду этот форум).

Добавлено:

А по поаоду вертекса - я думаю что он заходил на форум, на пример из универа, и злой админ сосниффил пасс
Моё ИМХО.
Автор: BEndER Tech
Дата сообщения: 06.12.2006 20:28
Cheery
всё ещё про пароли
а когда пароли хранятся в кукизах, могу я этому препятствовать?
KADABRA
не правильное ИМХО
он в сеть заходит только дома!!!
Автор: Cheery
Дата сообщения: 06.12.2006 20:30
BEndER Tech

Цитата:
а когда пароли хранятся в кукизах, могу я этому препятствовать?

вырезать куки, но тогда тебя просто не пустят


Цитата:
он в сеть заходит только дома!!!

если локальная сеть на хабах или комп заражен, то выловить пароль несложно

KADABRA

Цитата:
злой админ сосниффил пасс


злые админы, обычно, не пишут такие посты.. только малолетки
Автор: KADABRA
Дата сообщения: 06.12.2006 20:30
BEndER Tech
Может он дома через локальную сеть заходит - тогда тоже сосниффили скорее всего.
Автор: BEndER Tech
Дата сообщения: 06.12.2006 20:32
KADABRA
дома он заходит через ЖПС (уже давно)
пока некторые трудности с нетом!

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667

Предыдущая тема: Хде я?

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.