ЛюБoBниK:), чатовские недокументированные цветные тэги в форуме не работают, и форумчане ничего про это не расскажут Мучай в чате тех, кто использует такие тэги.
seclub.org - вакханалия в чате Что такое мобильный чат? Это бессонно проведенные ночи у экрана телефона, настоящая дружба и виртуальная любовь, которые всюду ходят с тобой в кармане. Самые лучшие вап-чаты обычно размещены на более или менее посещаемых порталах, одним из которых является seclub.org - клуб любителей трубок от SonyEricsson. Этот популярнейший WAP-портал с не менее популярным чатом тоже оказался подверженным взлому. Именно из-за моих приколов над пользователями админы клуба вынуждены были написать свой новый чат с нуля, а не пользоваться купленным у ***.ru скриптом :). :strela:
А с чего же все началось? Как-то раз, сидя в аське, я узнал у хорошего знакомого про то, что этот чат записывает в базу данных переменную с юзерагентом ("HTTP_USER_AGENT) без каких-либо проверок. Переварив эту инфу и зная о том, что поле с правами пользователя в БД называется "***", я решил проверить чат на sql-injection. Я накатал простенький php-скрипт, увеличивающий "***" на несколько пунктов, "ля = ляляля "* и т.д. и т.п. и запустил его на Денвере. После чего, зайдя в чат, увидел много новых возможностей: Админская комната, Панель управления администратором, кнопка смены заголовка комнаты и т.д. Админы раз за разом убирали мой статус, а я снова и снова проделывал этот нехитрый трюк, становясь администратором :). Такое правда было? Когда?
Мучай в чате тех, кто использует такие тэги. 
28 янв 2010 в 06:10