Перейти к содержанию
Авторизация  
lacosta

Уязвимость на св13

Рекомендуемые сообщения

Во общем лазил по интернету и наткнулся на такую темку

 

 

1.В админке заходим в настройки>Game Server>Там где пароль от сервера (БД) открываем исходный код страницы и смотрим пароль от БД, который не зашифрован.
2.Уязвимость в статистике, а именно "Рейд боссы" в ней есть SQL Injection.
3.Уязвимость в статистике, а именно "Богачи" в ней есть SQL Injection.
4.Уязвимость в личном кабинете, если есть тех. поддержка в лк, то пишем XSS код на воравание куков.
5.Уязвимость в старых версиях получение бонуса (l2top) есть уязвимость XSS, SQL Injection.
6.Уязвимость с 11-12 версии SW, а именно страница index.php, если Выводить сообщения об ошибках MySQL = Вкл
То на главной странице будет уязвимость SQL.
Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5
Большинство SQL Injection состоятся в "Act", "Sid". 
 
проверил первый пункт работает, вот теперь такой вопрос как убрать эти уязвимости, допустим 2,3,4,5 пунктов можно выключить как быть с остальными ?
и кто что скажет об этом
 
Модераторы если вы  щи таите что темка не актуальна можете удалить
Изменено пользователем lacosta

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Во общем лазил по интернету и наткнулся на такую темку

 

 

1.В админке заходим в настройки>Game Server>Там где пароль от сервера (БД) открываем исходный код страницы и смотрим пароль от БД, который не зашифрован.
2.Уязвимость в статистике, а именно "Рейд боссы" в ней есть SQL Injection.
3.Уязвимость в статистике, а именно "Богачи" в ней есть SQL Injection.
4.Уязвимость в личном кабинете, если есть тех. поддержка в лк, то пишем XSS код на воравание куков.
5.Уязвимость в старых версиях получение бонуса (l2top) есть уязвимость XSS, SQL Injection.
6.Уязвимость с 11-12 версии SW, а именно страница index.php, если Выводить сообщения об ошибках MySQL = Вкл
То на главной странице будет уязвимость SQL.
Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5
Большинство SQL Injection состоятся в "Act", "Sid". 
 
проверил первый пункт работает, вот теперь такой вопрос как убрать эти уязвимости, допустим 2,3,4,5 пунктов можно выключить как быть с остальными ?
и кто что скажет об этом
 
Модераторы если вы  щи таите что темка не актуальна можете удалить

 

фиксить, открыть код и смотреть где эти баги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

1.В админке заходим в настройки>Game Server>Там где пароль от сервера (БД) открываем исходный код страницы и смотрим пароль от БД, который не зашифрован.

проверил первый пункт работает, вот теперь такой вопрос как убрать эти уязвимости, допустим 2,3,4,5 пунктов можно выключить как быть с остальными ?
и кто что скажет об этом

 

<input type="password">

Поле для пароля — обычное текстовое поле, но отличается от него тем, что все вводимые символы отображаются звездочками, точками или другими знаками (это зависит от браузера). Поле предназначено для того, чтобы никто не подглядел вводимый пароль.

type="password" не шифрует пароль, а просто прячет его от посторонних глаз...



			
		

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

фиксить, открыть код и смотреть где эти баги.

просто нет таких больших знаний что бы закрыт такие дырки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

просто нет таких больших знаний что бы закрыт такие дырки

значит заказывать фиксы, или ждать добродеятеля

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
<input type="password">

Поле для пароля — обычное текстовое поле, но отличается от него тем, что все вводимые символы отображаются звездочками, точками или другими знаками (это зависит от браузера). Поле предназначено для того, чтобы никто не подглядел вводимый пароль.

type="password" не шифрует пароль, а просто прячет его от посторонних глаз...

Тут фишка в том, что пароль должен быть уже в зашифрованном виде в инпуте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот что больше интеесует так вот это закрыть

 

Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5

Изменено пользователем lacosta

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот что больше интеесует так вот это закрыть

 

Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5

Что то я не вижу в своём стандартном св13 такого файла даже.

Укажи полный путь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что то я не вижу в своём стандартном св13 такого файла даже.

Укажи полный путь

щас полный не могу указать с планшета сижу, смотри или модуль или апликатор

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

щас полный не могу указать с планшета сижу, смотри или модуль или апликатор

я скачал св только что левый, 13 и там тоже нету такого файла и такой папки. Может у тебя уникальный св?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я скачал св только что левый, 13 и там тоже нету такого файла и такой папки. Может у тебя уникальный св?

утром гляну, а прибывал просто файл искать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

утром гляну, а прибывал просто файл искать

пробовал, в папках нету

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот что больше интеесует так вот это закрыть

 

Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5

Берем режем ЛК, и вырезает этот файл с СВ, или сокращаем его предназначение.

Вот вам и легкий путь.

 

Или же платите деньги за фиксы.

Изменено пользователем gvb

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Настраиваем права на папки, чистим СВ от ненужных файлов и на всякий  случай выставляем права на юзера mysql.
Постоянно людям настраиваю СВ и никаких проблем со взломами не возникает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Настраиваем права на папки, чистим СВ от ненужных файлов и на всякий  случай выставляем права на юзера mysql.

Постоянно людям настраиваю СВ и никаких проблем со взломами не возникает.

верно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

просто нет таких больших знаний что бы закрыт такие дырки

для того чтоб он попал в админку и посмотрел исходны код надо сначала админку взломать 

 

ДА и если админка взломана нафиг тогда пароль от бд есть и так можно рисовать веши игроку иль блокировать что-то и удалят  в самой админке 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

для того чтоб он попал в админку и посмотрел исходны код надо сначала админку взломать 

 

ДА и если админка взломана нафиг тогда пароль от бд есть и так можно рисовать веши игроку иль блокировать что-то и удалят  в самой админке 

Покажите мне человека, который управляет сервером с помощью СВ.

Я имею ввиду выдача предметов и управление аккаунтами.

Всю жизнь управлял через базу ручками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Покажите мне человека, который управляет сервером с помощью СВ.

Я имею ввиду выдача предметов и управление аккаунтами.

Всю жизнь управлял через базу ручками.

Многие дают полные права упр бд  иль  insert delete create

хватает чтоб  в админке начать творить что попало так как есть разрешение в самом функционала 

В ином случае надо вырезать половина админки  св

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пора уже давно удалить св и гхт,и не будет таких вопросов.

Изменено пользователем Heartless

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...