lacosta 206 Опубликовано 13 января, 2017 (изменено) Во общем лазил по интернету и наткнулся на такую темку 1.В админке заходим в настройки>Game Server>Там где пароль от сервера (БД) открываем исходный код страницы и смотрим пароль от БД, который не зашифрован. 2.Уязвимость в статистике, а именно "Рейд боссы" в ней есть SQL Injection. 3.Уязвимость в статистике, а именно "Богачи" в ней есть SQL Injection. 4.Уязвимость в личном кабинете, если есть тех. поддержка в лк, то пишем XSS код на воравание куков. 5.Уязвимость в старых версиях получение бонуса (l2top) есть уязвимость XSS, SQL Injection. 6.Уязвимость с 11-12 версии SW, а именно страница index.php, если Выводить сообщения об ошибках MySQL = Вкл То на главной странице будет уязвимость SQL. Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5 Большинство SQL Injection состоятся в "Act", "Sid". проверил первый пункт работает, вот теперь такой вопрос как убрать эти уязвимости, допустим 2,3,4,5 пунктов можно выключить как быть с остальными ? и кто что скажет об этом Модераторы если вы щи таите что темка не актуальна можете удалить Изменено 13 января, 2017 пользователем lacosta Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Detect 618 Опубликовано 13 января, 2017 Во общем лазил по интернету и наткнулся на такую темку 1.В админке заходим в настройки>Game Server>Там где пароль от сервера (БД) открываем исходный код страницы и смотрим пароль от БД, который не зашифрован. 2.Уязвимость в статистике, а именно "Рейд боссы" в ней есть SQL Injection. 3.Уязвимость в статистике, а именно "Богачи" в ней есть SQL Injection. 4.Уязвимость в личном кабинете, если есть тех. поддержка в лк, то пишем XSS код на воравание куков. 5.Уязвимость в старых версиях получение бонуса (l2top) есть уязвимость XSS, SQL Injection. 6.Уязвимость с 11-12 версии SW, а именно страница index.php, если Выводить сообщения об ошибках MySQL = Вкл То на главной странице будет уязвимость SQL. Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5 Большинство SQL Injection состоятся в "Act", "Sid". проверил первый пункт работает, вот теперь такой вопрос как убрать эти уязвимости, допустим 2,3,4,5 пунктов можно выключить как быть с остальными ? и кто что скажет об этом Модераторы если вы щи таите что темка не актуальна можете удалить фиксить, открыть код и смотреть где эти баги. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
L2Banners 664 Опубликовано 13 января, 2017 1.В админке заходим в настройки>Game Server>Там где пароль от сервера (БД) открываем исходный код страницы и смотрим пароль от БД, который не зашифрован. проверил первый пункт работает, вот теперь такой вопрос как убрать эти уязвимости, допустим 2,3,4,5 пунктов можно выключить как быть с остальными ? и кто что скажет об этом <input type="password"> Поле для пароля — обычное текстовое поле, но отличается от него тем, что все вводимые символы отображаются звездочками, точками или другими знаками (это зависит от браузера). Поле предназначено для того, чтобы никто не подглядел вводимый пароль. type="password" не шифрует пароль, а просто прячет его от посторонних глаз... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
lacosta 206 Опубликовано 13 января, 2017 фиксить, открыть код и смотреть где эти баги.просто нет таких больших знаний что бы закрыт такие дырки Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Detect 618 Опубликовано 13 января, 2017 просто нет таких больших знаний что бы закрыт такие дырки значит заказывать фиксы, или ждать добродеятеля Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Detect 618 Опубликовано 13 января, 2017 <input type="password"> Поле для пароля — обычное текстовое поле, но отличается от него тем, что все вводимые символы отображаются звездочками, точками или другими знаками (это зависит от браузера). Поле предназначено для того, чтобы никто не подглядел вводимый пароль. type="password" не шифрует пароль, а просто прячет его от посторонних глаз... Тут фишка в том, что пароль должен быть уже в зашифрованном виде в инпуте. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
lacosta 206 Опубликовано 13 января, 2017 (изменено) Вот что больше интеесует так вот это закрыть Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5 Изменено 13 января, 2017 пользователем lacosta Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Detect 618 Опубликовано 13 января, 2017 Вот что больше интеесует так вот это закрыть Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5 Что то я не вижу в своём стандартном св13 такого файла даже. Укажи полный путь Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
lacosta 206 Опубликовано 13 января, 2017 Что то я не вижу в своём стандартном св13 такого файла даже. Укажи полный путь щас полный не могу указать с планшета сижу, смотри или модуль или апликатор Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Detect 618 Опубликовано 13 января, 2017 щас полный не могу указать с планшета сижу, смотри или модуль или апликатор я скачал св только что левый, 13 и там тоже нету такого файла и такой папки. Может у тебя уникальный св? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
lacosta 206 Опубликовано 13 января, 2017 я скачал св только что левый, 13 и там тоже нету такого файла и такой папки. Может у тебя уникальный св?утром гляну, а прибывал просто файл искать Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Detect 618 Опубликовано 13 января, 2017 утром гляну, а прибывал просто файл искать пробовал, в папках нету Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
qwanta123 10 Опубликовано 13 января, 2017 Поговаривают что SW 14 на подходе Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
gvb 666 Опубликовано 13 января, 2017 (изменено) Вот что больше интеесует так вот это закрыть Знаю в SW есть шелл, а именно он лежит (/init/character.php) стоит WSO 2.5 Берем режем ЛК, и вырезает этот файл с СВ, или сокращаем его предназначение. Вот вам и легкий путь. Или же платите деньги за фиксы. Изменено 13 января, 2017 пользователем gvb Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
L2JEnterprise 113 Опубликовано 13 января, 2017 Как вариант кропотливо выставить права юзера MYSQL. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ffffffffffffffffff 643 Опубликовано 13 января, 2017 Настраиваем права на папки, чистим СВ от ненужных файлов и на всякий случай выставляем права на юзера mysql.Постоянно людям настраиваю СВ и никаких проблем со взломами не возникает. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SteveDogs 1077 Опубликовано 13 января, 2017 Настраиваем права на папки, чистим СВ от ненужных файлов и на всякий случай выставляем права на юзера mysql. Постоянно людям настраиваю СВ и никаких проблем со взломами не возникает. верно. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
terege 110 Опубликовано 13 января, 2017 просто нет таких больших знаний что бы закрыт такие дырки для того чтоб он попал в админку и посмотрел исходны код надо сначала админку взломать ДА и если админка взломана нафиг тогда пароль от бд есть и так можно рисовать веши игроку иль блокировать что-то и удалят в самой админке Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ffffffffffffffffff 643 Опубликовано 13 января, 2017 для того чтоб он попал в админку и посмотрел исходны код надо сначала админку взломать ДА и если админка взломана нафиг тогда пароль от бд есть и так можно рисовать веши игроку иль блокировать что-то и удалят в самой админке Покажите мне человека, который управляет сервером с помощью СВ. Я имею ввиду выдача предметов и управление аккаунтами. Всю жизнь управлял через базу ручками. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
terege 110 Опубликовано 13 января, 2017 Покажите мне человека, который управляет сервером с помощью СВ. Я имею ввиду выдача предметов и управление аккаунтами. Всю жизнь управлял через базу ручками. Многие дают полные права упр бд иль insert delete create хватает чтоб в админке начать творить что попало так как есть разрешение в самом функционала В ином случае надо вырезать половина админки св Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Heartless 60 Опубликовано 13 января, 2017 (изменено) Пора уже давно удалить св и гхт,и не будет таких вопросов. Изменено 13 января, 2017 пользователем Heartless Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
