UWAGA NA SYSTEMY WYMIANY!

[Daniel Kędzierski]

storm odpowiadając na pytanie:

w innych systemach także można - z uwagi iż pewnych dziur nie potwierdziłem do konca a testy rozpoczne jutro.

Te które znajde - ujawnie równie szybko jak te dotychczasowe.

Z mojej strony masz juz gwarancje nie zbaczania z tematu.

Bo w sumie po to stworzylem ten wątek jak napisałeś by zaradzić.

Ja mimo że nie uzywam systemów nie walcze z nimi samymi bo mi ich istnienie nie przeszkadza - wrecz odwrotnie.

Natomiast nie mam tez celu atakowania samego systemu LINKORN badź kazdego innego - test linkorn wyszedł zupełnie przypadkowo

https://forum.szook.tv/about50.html

poprostu podczas dyskusji na moim forum podła nazwa tego systemu i temat został pociągnięty dalej i rozbity na 2.

Dlatego nie otworzyłem tematu o tak bo nie lubie LINKORN - wrecz przeciwnie byłem przyjaznie nastawiony i nie raz rozmawiałem z czlowiekiem na GG - zdziwił mnie natomiast fakt że w momencie kiedy przypadkiem znalazłem błedy to ten ktoś zaczoł mnie obrazać.

Moje własnie podejscie do systemu miało pokazac że jest to bez różnicy czy z tym kims rozmawiam prywatnie czy tez nie - swoją opinie wyraze w taki sam sposob.

Ale powracajac do tego o czym pisałeś - od poniedziałku o ile admni systemów nie poblokuja odwołań z mojej klasy adresowej rozpoczne testy.

Pozdrawiam

Mariusz

[sttorm]

mam nadzieje ze tego nie zrobia

fakt jest iz dir elite ma taki styl wypowiedzi i nic na to nie poradzimy

ale martwi mnie to iz inne systemy tez maja pełno dziur (na razie nie potwierdzone jak sam mowisz) ale jesli w windows sa dziury nad ktorym pracuje sztab ludzi to w zwyklym systemie moze byc ich sporo wazne aby je wykazac i kazdy mogl sie tak zabezpieczyc aby nie bylo tych problemów i aby zwykly łebek nie zmienial sie w super hakiera

[MMP]

gdyz w sumie pewnie kazdy gdyby zaczela sie na niego nagonka wypowiedzial by pewne slowa których pewnie pozniej by załował.

Tyle że żadnej nagonki nie było, powstał temat o błędach we WSZYSTKICH systemach linkujących. Jednakże jeden błąd KRYTYCZNY został zauważony TYLKO w systemie LINKORN. Co dir-elite wkurzyło, jako że jego system jest anielsko dobry, i przez 5 stron nie potrafił się przyznać że jego system UMOŻLIWIA włamanie się na strony użytkowników - zwalając to na przymus kontroli zgdoności klienta LINKORN.pl

Skończyło się to tak bo Anioł nie potrafił przyjąć do wiadomości że jego programiści się pomylili, nie uwzględniając tego że EVAL jest niebezpieczny. Ponadto błąd z nazwą domeny zwalał na autorów systemów do zarządzania hostingiem, niestety ale jak jego skrypt jest używany przez mln userów to te mniejsze skrypty MUSZĄ się temu podporządkować.

Wbrew pozorom z tego wątku skorzystali/skorzystają właściciele innych systemów. Ponieważ nie tylko LINKORN.pl musiał się zabezpieczyć z błędem wynikającym serwerem DNS/vhostem.

eval - z tego co jest napisane zostal wylaczony i mam nadzieje ze admini linkorn przemysla wszystko i nie beda go uzywac, tak wiec poczekajmy czy bedzie uzywany dalej czy nie,

W instalatorze dalej jest.

kwestia czy w innych systemach mozna zrobic to samo a na to nie dal nikt z niezaleznych jasnej odpowiedzi, oraz czy przez staty tez to jest mozliwe i czy na wszystkich hostingach i ja bym szedl w tym kierunku i mam nadzieje ze ktos to sprawdzi, a nie bedzie robil tylko osobistych wycieczek

Błąd związany z PHP Injection jest bardzo rzadko spotykany, i nie zależy on od serwera tylko od tego jak został skrypt napisany. Przepisanie domeny na lokalny serwer daje już możliwości oszukania, no ale kto będzie oszukiwał np. swoje własne statystyki. Żadnych korzyści z oszukiwania w tym wypadku nie ma, a jakie korzyści są z oszukiwania systemów linkujących to każdy wie.

-----------

ale martwi mnie to iz inne systemy tez maja pełno dziur

Dir-elite ma błędy do każdego systemu, no ale jakoś nie chce ich opublikować.

[Daniel Kędzierski]

Dokładnie tak jak MMP napisał nie był atakowany

Storm zresztą sam oceń zachowanie w wątkach których nawet nie porusza sie tego osobnika a ma na celu promowanie samego seo/web/sem

Zobacz sobie sam wątek - stworzyłem sobie podforum żeby można było polecac blogi/fora zwiazane z SEO

https://forum.szook.tv/forum-45.html

otworzyłem wątek w którym napisałem że jednym z ciekawych miejsc jest PIO - bo moim celem nie jest faworyzowanie jakiegoś miejsca a szerzenie wiedzy na temat sem/seo więc napisałem i zachęciłem do pisania o blogach/wortalach/forach poświeconych pozycjonowaniu/php a także webmasteringowi. By user odwiedzający moje raczej radiowe forum mógł trafić do innych ciekawych miejsc.

Jak przeczytasz ten temat sam ocenisz kto lubi atakowac i kto ma manie wyższości nad innymi miejscami w sieci.

https://forum.szook.tv/about57.html

[Paweł Kobis]

Zgodnie z prawem nie wolno mi informowac publicznie o takich bugach gdyz w przypadku wykozystania ich bylbym wspolwinnym przestepstwa. Osoba ktora ujawnia informacje dzienki ktorym mozna dokonac wlamania lub kradzierzy jest zagrozona kara pozbawianie wolnosci od 6 miesiecy do 5 lat - tak wiedz dzienkuje nie skozystam.

Osoby ktore maja znac ta luke o ktorej ja mysle juz ja dawno znaja i zapewne wykozystuja do wlasnych celow.

Zreszta mam zakaz od Muchala pisac o takich rzeczach

[Daniel Kędzierski]

mozna informowac bowiem na celu niemasz popelnienie i pomocy a ochrone.

Wiec spokojnie pisz o bugach innych systemów

Bowiem znajdowanie dziur tak jak i produkcja nozy . PRoducent nie moze odpowiadac ze uzyto noza do czynu zabronionego i w instrukcji nie pisze sluzy do zabijania.

Tak samo z bugami - ja piszac buga ktorego znalazlem napisalem ze to przestroga a nie rada jak sie wlamywac.

[Paweł Kobis]

Ja sie nie wypowiadam bo bedzie na mnie cos co sie juz dzieje - nie skozystam

[Daniel Kędzierski]

Nie nie bedzie pisz spokojnie.

Ja mysle ze jezeli napiszesz

system A - bugi 1,2,3,4

system B - bugi 1,2,3,4

to nawet admini tego forum nie pozwolą by inni admini systemów robili podjazdy mówiąc że to Twoja wina.

Nawet jeżeli byś ich użył a dzielisz się bugami dla wspólnego dobra to co się przejmujesz opiniami systemów konkurencyjnych.

Uważam że podzielenie się bugami niebezpiecznymi dla userów w innych systemach - które byś teraz uczynił miałoby tylko pozytywne skutki marketingowe oczywiście dla systemu LINKORN.

Więc śmiało jeżeli napiszesz bugi innych systemów które będzie można sprawdzić a jakiś inny admin systemu Ciebie zaatakuje z tego własnie powodu tylko i wyłącznie - sam stane w obronie mówienia o bugach.

[Brad]

Każdy bug osłabia system, dlatego konkurencja niechętnie pisze o bugach innych systemów. Wykrycie i naprawa wszystkich błędów pozwoli podnieść moc systemów.

[sttorm]

Brad - konkurencja chetnie pisze o błędach innych, niewidzac swoich ale dla mnie teraz jest jedna rzecz ważna czy inne systemy tez sa bezpieczne i to jest najwazniejsze.

Tak wiec czekam na testy gdyz to bedzie najbardziej wiarygodne czy mamy strony bezpieczne !!!

[tomick]

nie są bezpieczne jeżeli kierują ruch między serwerem a klientem poprzez domeny. Jest bezpieczny jednak, jeżeli mimo ruchu po domenie używają autoryzacji, która praktycznie wyklucza pobranie przez skrypt klienta niewłaściwych danych.

LinkORN nie jest bezpieczny bo używa funkcji eval() - pomimo poprawek. Nadal można zaaplikować niebezpieczny kod do strony www.

[Paweł Kobis]

tomcik nie mozna zaaplikowac zadnego kodu i nie czeba kozystac z evila zeby wgrac hakowac strone.

Uzytkownicy systemu LinkORN wypowiadaja sie ze chca evila wiedz tutaj narazie temat jest jasny i klarowny. Linkorn jest juz zabezpieczony i nie widze sesu dalesz rozmowy na ten temat. zajmijcie sie prosze innymi systemami

[tomick]

ech... EVALu a nie evila... choć akurat tutaj to jest nomen omen - zło.

Oczywiście- jest szereg błędów przez które można zaatakować stronę. Ale tylko twój system wykorzystuje eval w swoich skryptach po to, aby przetwarzać kod z obcego serwera. I np. w razie ataku na TWÓJ system i podmienienia kodu, który odpowiedzialny jest za instalację na np. wykonanie funkcji unlink(), użytkownik postanowi zainstalować LinkORNa u siebie na serwerze uzyska zamiast poprawnej instalacji darmowe czyszczenie plików konta.

Odpowiedz na pytanie: KTO robił Tobie ten RZEKOMY audyt. Podaj nazwę firmy, lub jeżeli to były konkretne osoby to podaj nazwiska tych osobistości świata PHP.

A tak na poważnie - jeżeli jesteś pewien swojego systemu - przywróć stare skrypty wykorzystujące eval().

[Daniel Kędzierski]

Sttorm a jednak w tym co Brad napisał coś jest.

Zobacz

Po co konkurencja ma pisać o błedach ?

Pisząc o błedach - zostają one naprawione i np nie mozna oszukiwac systemu.

Dzieki czemu system staje się skuteczniejszy - jego moc jest tak rozłożona że wszyscy są zadowoleni.

Gdy dany system można oszukiwać a wie o tym kilka osób to system traci na mocy ogólnej.

Wiec jakas mądrość w tym jest że konkurencja nie podaje.

Tomiick jest jeszcze pewien bug który znalazłem brak 100% pewności bo jest weekend i nie chce mi sie siedziec meczyc testów - nie dotyczy EVAL.

a skasowalem tą część posta bo wyedytowany też wcześniejszy.

[Paweł Kobis]

Oczywiste jest ze w moim interesie jest zeby LinkMe i dowolny system mial jak naj wiecej bugow !!! ktore sam moge wykozystywac lub podpowiadac naj blizszym Darmowa moc systemu, darmowe informacje jesli ktos nato wpadnie i ujawni to naprawia i odetna mnie od tego typu informacji

Ja wiem tylko tyle LinkmE jest w 100% podatny na problem szooka tylko czeba jeszcze znac troche PHP i mozna zrobic wszystko na stronie. Moim zdaniem jest to celowa luka pozostawiona dla adminow bo nie wieze w przeoczenie