Rozgryzione CAPTCHA z MyBB?

23 czerwiec 2008, autorstwa: kozik

Post na forum opartym o MyBB usera “shoes258″ z typowym zagranicznym spamem handlowym (jakieś pierdu-pierdu o ubraniach… i link do strony :) ). IP chińskie - 34.157.58.59.broad.pt.fj.dynamic.163data.com.cn. E-mail użyty w rejestracji zresztą też. Standard ktoś mógłby rzec… ale ciekawie wyglądają logi webserwera:
Przeczytaj resztę wpisu »

Wysłano w Blog - Web | Tags: , , , , | Liczba komentarzy: 5 »

Hyde-park…

5 czerwiec 2008, autorstwa: admin

Nie ma to jak zrobić hyde-park, a właściwie pozwolić na wypowiadanie się na forum każdemu. Bez rejestracji i bez kontroli wypowiedzi. W końcu wolność mamy i jak tu kontrolować co ludzie mogą a co nie mogą mówić? Nie wypada… A, że ludzie to nie ludzie…

Przeczytaj resztę wpisu »

Wysłano w Blog - Web | Tags: , | Liczba komentarzy: 2 »

Biała i czarna lista - klasyka

21 maj 2008, autorstwa: kozik

Polecam do przejrzenia ostatnią lukę w MyBB, a właściwie łatę, czyli wersję 1.2.13. Klasyczna nieefektywna czarna lista.

Przeczytaj resztę wpisu »

Wysłano w Blog - Web | Tags: , | Brak komentarzy »

Łowienie…

27 luty 2008, autorstwa: kozik

IDS na poziomie aplikacji webowej dla serwisu PC Format i NEXT działa już pełną parą… i teraz problem rozbija się o wyłowienie ze stosu zgłoszeń wartościowych informacji.

Przeczytaj resztę wpisu »

Wysłano w Blog - Web | Tags: , , , , , , | Brak komentarzy »

IDS dla aplikacji webowej w PHP

18 luty 2008, autorstwa: kozik

Zainteresował mnie ostatnio projekt PHPIDS, czyli IDS dla aplikacji webowej pisanej w PHP. I to nie tylko z uwagi na ostatnie poważne luki w MyBB, ale i w kontekście mojego serwisu, czyli www.pcformat.pl i www.nextmag.pl.

Przeczytaj resztę wpisu »

Wysłano w Blog - Web | Tags: , , , , , , | Liczba komentarzy: 2 »

ARAKIS - żółw czy po prostu nieskuteczność?

24 styczeń 2008, autorstwa: kozik

CERT Polska pisze, że ich ARAKIS wykrył 18 stycznia 2008 r. wykorzystywanie exploita na lukę w MyBB 1.2.10… to są niesłychanie szybcy lub niesłychanie skuteczni, bo exploit ten chodzi w sieci od mniej więcej czerwca-lipca 2007 roku! Nie był wtedy jeszcze opublikowany na np. Milw0rmie - po prostu “korporacje” z Rosji używały go raczej po cichu do budowania mniejszych czy większych botnetów z serwerów WWW. Dodam również, że luka załatana została 8 stycznia. NASK chyba nad tym ARAKIS-em powinien jeszcze popracować… ale doceniamy, doceniamy :) .

BTW. Proszę się nie sugerować treścią newsa na CERT Polska, że “Zaledwie dwa dni wcześniej upubliczniono informację o luce” - to jest bzdura, chyba, że przez “informację o luce” mają na myśli wrzucenie exploita na Milw0rm itp.

Wysłano w Blog - Web | Tags: , , | Liczba komentarzy: 5 »

WTF?!? aaargh, to tylko poniedziałek…

21 styczeń 2008, autorstwa: kozik

Restartowali kontroler domeny, więc ludki, nie mogąc dostać się do zasobów serwera plików, ciągną do mnie… Nowy-stary znajomy w pracy wpiął laptopa do listwy…

Przeczytaj resztę wpisu »

Wysłano w Blog - Kozik | Tags: , , , | Brak komentarzy »

Another fu***g 0-day security bug in MyBB

7 styczeń 2008, autorstwa: kozik

I have just found really beautiful security bug in MyBB - full PHP code injection… exploitable and (shit!) exploited already on some sites (love russian hackers :) )… With access to “system()” you have access to shell on webserver rights. Great…

Przeczytaj resztę wpisu »

Wysłano w Blog - Web | Tags: , , , | Liczba komentarzy: 2 »

MyBB 1.2 - modyfikacje

12 grudzień 2007, autorstwa: kozik

Modyfikacje do mechanizmu forum MyBB. Łaty nie są pełnoprawnymi modyfikacjami - nie były testowane pod kątem używania ich na Twoim forum. Nie udostępniam wszystkich łat - niektóre są zbyt złożone lub wymagają dodatkowych zmian w bazie danych albo w skórkach.

Przeczytaj resztę wpisu »

Wysłano w Projekty - komputerowe | Tags: , , | Liczba komentarzy: 8 »

AgileWeb i AgileDesk - praca magisterska

11 grudzień 2007, autorstwa: kozik

System obsługi zawodów sportowych agility

Ze wstępu: “Celem pracy było zaprojektowanie i wykonanie systemu do obsługi zawodów sportowych psów agility. Omówione niżej założenia i wymogi stawiane systemowi wymusiły podział na dwie osobne aplikacje, nazwane AgileWeb i AgileDesk.”

Przeczytaj resztę wpisu »

Wysłano w Projekty - komputerowe | Tags: , , , | 1 komentarz »

« Poprzednie wpisy