Allegro.pl

Powiązane (2)

Pokaż: ustaw jako domyślne
pokaż obrazki

Komentarze (60)

  • Reklamy Google

  • Burzasty +12  

    My name is Luka...

    pokaż komentarz
    Burzasty
  • adamale +4  

    ...I live right in your code...

    pokaż komentarz
    adamale
  • Eklektyk +5  

    I live few clicks from you
    Yes, I think you've seen me before

    pokaż komentarz
    Eklektyk
  • milordi +4  

    Tureccy "hakerzy" znowu zaczną uderzać :)

    pokaż komentarz
    milordi
  • breeder +4  

    "Turku kończ ten mecz!" :)

    pokaż komentarz
    breeder
  • OMG +5  

    http://www.emo-portal.pl/wp-login.php?action=rp&key[]=

    Tu nie działa, psia mać.

    pokaż komentarz
    OMG
  • RomanX +1  

    Chyba działa, bo nie działa.

    pokaż komentarz
    RomanX
  • OMG 0  

    Ktoś rozwalił Emo Portal! Idę się pociąć. :(

    pokaż komentarz
    OMG
  • koziolek666 +2  

    Już jest poprawka do pobrania. Zresztą wyszła ogromna zaleta softu o otwartym kodzie. Wczoraj błąd dziś poprawka niech komercyjny kod będzie tak szybko łatany to pogadamy o płaceniu.

    pokaż komentarz
    koziolek666
  • tv2 +2  

    Wybacz, ale to nie była luka, która wymagałaby nie wiadomo ilu poprawek w kodzie.

    pokaż komentarz
    tv2
  • koziolek666 +2  

    @tv2, tak, ale poprawka już jest i nie muszę na nią czekać na nią jak na nabożeństwo za zmarłych na pierwszy piątek miesiąca czy inny pierwszy wtorek. Wyobraź sobie sytuację, w której managerowie stwierdzą, że tą poprawkę wprowadzi się zgodnie z planem wydawniczym czyli za dwa trzy miesiące. Byle małpa spłodzi wtedy skrypt i korzystając z listy zarejestrowanych blogów wykona masowe wyłączenie haseł. Poprawka nie ważne czy mała czy duża powinna być wprowadzana do publicznego obiegu zaraz po przetestowaniu, a nie miesiąc później.

    pokaż komentarz
    koziolek666
  • vaultboy +4  

    Niestety z blogiem waldka nie działa :P

    pokaż komentarz
    vaultboy
  • Hekko-eu +12  

    za to z antyweb.pl tak:
    http://antyweb.pl/wp-login.php?action=rp&key[]=

    pokaż komentarz
    Hekko-eu
  • Widmo +3  

    no... i nie powstala by ani jedna modyfikacja...
    a ja bym nie zainstalowal u siebie bo nie wiesz, czy progrmisci sobie furtki nie zostawili...

    pokaż komentarz
    Widmo
  • mrowek +2  

    Poza tym jakby było closed, to tyle luda by z tego pewnie nie korzystało, poza tym zawsze się może zdarzyć że Heniek informatyk w firmie też znajdzie jakąś lukę i podeśle na ich buglistę.

    pokaż komentarz
    mrowek
  • fantom +1  

    Przetestowałem na swoim blogu. Faktycznie luka jest, zresetowałem hasło i nie mogłem się dostać do swojego konta. Na szczęście szybko można ustawić nowe jeśli ma się dostęp do swojej bazy danych lub serwera ftp poprzez plik emergency.php. (http://codex.wordpress.org/Resetting_Your_Password)

    pokaż komentarz
    fantom
  • Slavo +1  

    Jak to się dostanie na główną, to będzie ciekawie :D

    pokaż komentarz
    Slavo
  • czarofnick +27  

    To, że nikt nie może Ci zajrzeć w kod to jeszcze nie świadczy o tym, że nie znajdzie w nim błędu ;]

    pokaż komentarz
    czarofnick
  • thorga +1  

    To jest jak z linuksem i wirusami - mało popularne oprogramowanie nie jest interesujące jako obiekt ataków ;-)
    Zresztą, stawiam piwo za każdy znaleziony błąd ;-)

    pokaż komentarz
    thorga
  • Hekko-eu +12  

    @thorga
    podaj namiar ;-))

    pokaż komentarz
    Hekko-eu
  • czarofnick 0  

    To ja poproszę Desperadosa ;)

    pokaż komentarz
    czarofnick
  • thorga 0  

    http://mm-soft.x25.pl/kwadro/
    strona mimo całkowitego braku szaty graficznej zasilana jak najbardziej całkowicie z configa i cmsa (wybaczcie, tylko takie mam postawione robocze ;)

    pokaż komentarz
    thorga
  • elmasterlow +5  

    http://mm-soft.x25.pl/kwadro/index.php?a[]=&ln=pl - proszę. Jest błąd? jest ;p

    pokaż komentarz
    elmasterlow
  • 5zymon +1  

    Pomijając fakt że stopien "skomplikowania" tej strony (cms'a jak mniemam również) w porównaniu do WordPressa jest bardzo skromny :-). Wiesz .. mlotek ciezko zepsuc ;-]. Jakbyś napisal WP2 to pewno i bez kodu zrodlowego prawdopodobienstwo znalezienia luki wzrosloby 1000krotnie.

    pokaż komentarz
    5zymon
  • artpen 0  

    http://mm-soft.x25.pl/index.php?style=spring
    Masz błąd polegający na tym że jak naciśniesz na link w okienku i ruszysz myszką to okienko się nie przemieszcza tylko przewija zawartość wewnątrz

    pokaż komentarz
    artpen
  • artpen 0  

    http://mm-soft.x25.pl/kwadro/__WYKOP_POZDRAWIA__.php

    To dla mnie zdumiewające że dziewczyna (thorga) programuje :D

    pokaż komentarz
    artpen
  • yacool +2  

    @Thorga:
    Twój serwis postawiony w katalogu:
    /home/thorga/public_html/kwadro
    Inne serwisy tam dostępne:
    lotto (fajnie, można połazić po katalogach)
    Kto to jest Agata Maksymiuk pewnie da radę wyłuskać na NK

    pokaż komentarz
    yacool
  • artpen +1  

    Nie niszczcie życia dziewczynie - jak będzie chciała sama się ujawni!

    pokaż komentarz
    artpen
  • thorga +1  

    elmasterlow - gdzie mam wysłać piwo? ;-)
    moje imię i nazwisko nie jest tajemnicą i wystarczy minuta z google - a konta na n-k nie mam ;-)

    Samej strony w zasadzie nie ma, a, cms obsługuje konta wielu użytkowników, wersje językowe, zawartość strony, zawiera narzędzia do tłumaczenia strony. Dla mnie jak największe uproszczenie kodu jest zaletą :)

    pokaż komentarz
    thorga
  • yacool +1  

    Uważam, że warning to jeszcze nie błąd i walczymy dalej ;)

    pokaż komentarz
    yacool
  • thorga 0  

    zawsze można wyłączyć error reporting, ale to chyba byłoby trochę nieuczciwe ;-)

    pokaż komentarz
    thorga
  • elmasterlow 0  

    To jest błąd - źle użyta funkcja zabezpieczająca zmienną przez programistę - htmlspecialchars() w zmiennej $_GET['a'] ? Też kiedyś to miałem na swoim cmsie i jest to uznawane za błąd.

    pokaż komentarz
    elmasterlow
  • yacool 0  

    Ja tam nie wiem czy i przez kogo jest uważane, piszę to co czytam: "Warning". Więcej błędów nie znalazłem, gdyby szanowna Agata udostępniła trochę więcej funkcji aktywnych (gdzie użytkownik wprowadza i zapisuje dane) pewnie można by poszaleć. Aha - jeszcze coś mi się przypomniało. Bezpieczeństwo algorytmów kryptograficznych nie polega na tym że są tajne, a wręcz przeciwnie.
    Życzę sukcesów przy rozwoju własnego CMS, osobiście chyba by mi się nie chciało.

    pokaż komentarz
    yacool
  • thorga 0  

    Nie upieram się, że jestem bezbłędna.
    Warning nie jest errorem, ale tak czy siak nie powinno go być wcale.

    Własny CMS ma jednak przede wszystkim tą zaletę, że można go przebudowywać zgodnie z potrzebami klienta (nie wiem czy jest ktoś, kto lubi przerabiać cudzy kod). No i mimo wszystko jest dużo trudniej znaleźć dziurę, nie mając pojęcia chociażby o nazwie pliku, który odpowiada za logowanie.

    Co rzecz jasna nie zwalnia z przewidywania wszystkiego, co może zrobić użytkownik i zabezpieczenia każdej zmiennej, której wartość może zostać wprowadzona z zewnątrz.

    pokaż komentarz
    thorga
  • Aleksij -9  

    calkiem fajne:)))

    http://elementsofseo.com/wp-login.php?action=rp&key[]=

    http://www.fabrykaspamu.pl/wp-login.php?action=rp&key[]=

    http://www.zeldman.com/wp-login.php?action=rp&key[]=

    http://wpthemes.info/wp-login.php?action=rp&key[]=

    pokaż komentarz
    Aleksij
  • czarofnick 0  

    Chętnie Cię zatrudnię jako bota. LFI, RFI, itd również potrafisz wyszukiwać?

    pokaż komentarz
    czarofnick
  • ReMark +11  

    Wyluzuj Mendax i zabezpiecz maszynę ;] A dzieciaki muszą się wyszumieć ;]

    Solucja - http://r.hack.pl/wordpress.txt

    Poza tym samo pisanie o tym to jeszcze nie uszkadzanie ;]

    pokaż komentarz
    ReMark
  • mendax -7  

    Jestem całkowicie wyluzowany, posiadając stale powiększającą się listę ciekawych IP.
    I tak się czasem zastanawiam, czy te "dzieciaki" nie powinny zakosztować trochę dorosłości...

    pokaż komentarz
    mendax
  • Nymphis +6  

    mendax - nudzisz... 95% ludzi łamie prawo - piracki Windows, filmy, muzyka ściągane z internetu... poza tym wykop nie służy do moralizowania :)
    Swoją drogą ciekawe czy masz wszystko na dysku oryginalne...

    pokaż komentarz
    Nymphis
  • thorga -7  

    (pomyłka)

    pokaż komentarz
    thorga
  • Slavo -3  

    Paanie, przecież wystarczy dodać jeden głupi warunek do instrukcji warunkowej, który sprawdza, czy zmienna key nie jest tablicą. Zresztą, przecież nic wielkiego się nie dzieje, a ktoś może mieć chwilę zabawy :) Po co się od razu wyzywać.

    pokaż komentarz
    Slavo
  • breeder -8  

    if (empty($key) || is_array($key))

    ale nie każdy musi o tym wiedzieć i to potrafić – tak samo ja się nie znam na zamkach drzwiowych i liczę na to, że nikt mi nie będzie dla chwili zabawy domu ryglował.

    pokaż komentarz
    breeder
  • gothmori -1  

    jak ktoś jest głupi i nie robi backupów to rzeczywiście zdarzyć się może że pojawi się kłopot któregoś dnia...

    pokaż komentarz
    gothmori
  • ignacyteodor +11  

    Na cba.pl (ani na innych hostingach z włączonym safe_mode) upload plików nie działa.

    pokaż komentarz
    ignacyteodor
  • tomaszs -7  

    "To nie jedyny probem WordPressa. Przepraszam za zmianę tematu i perfidne podpinanie się, ale może ktoś mi pomoże. Zainstalowałam WordPress na serwerze cba ------------------ ------------------------------------ ---------------------------------- --------------------------- --------------------- ------------------------------------- -------------------------------------- --------------------------- ----------------------------------------- ----------------------------------------------- -------- Ktoś ma jakiś pomysł? "

    pokaż komentarz
    tomaszs
  • AIMIDO +6  

    Spróbuj na CBŚ

    pokaż komentarz
    AIMIDO
  • voldenet -4  

    Na hax.tor.hu dają fajny hosting.

    pokaż komentarz
    voldenet
  • gothmori 0  

    →gosia_jot

    chmod ?

    jeśli chcesz stawiać stronę i nie zostać w d***e to trochę poczytaj... to są podstawy...

    pokaż komentarz
    gothmori
  • Lukas_n -2  

    I poprawka jest http://wordpress.org/development/2009/08/2-8-4-security-release/

    pokaż komentarz
    Lukas_n
  • breeder -4  

    Nowe hasło jest wysyłane. Poprawcie w tekście.

    pokaż komentarz
    breeder
  • Hekko-eu +6  

    @breeder
    dla ludzi troche obytych w temacie logiczne jest ze stwierdzenie resetowanie hasla oznacza generowanie nowego

    pokaż komentarz
    Hekko-eu
  • breeder -6  

    @Hekko-eu

    > Atak można przeprowadzić zdalnie –
    > a w efekcie do administratora nie zostanie wysłany żaden link resetujący.

    W tekście nie ma o tym, że przecież e-mail zostanie wysłany i będzie miał w sobie nowe hasło, o czym wspomina linkowany komunikat z Full Disclosure:

    > You click on the link, and then Wordpress reset your admin password,
    > and sends you over another email with your new credentials.

    Tłumaczenie się oczywistością i "że to każdy wie" mnie nie przekonuje, tak można tłumaczyć każdą niedoróbkę. Taka informacja jest ważna, bo inaczej kontekst i zacytowany fragment sugeruje, że admin nie dostanie komunikatu pozwalającego mu się zalogować i musi zawsze używać skryptu do resetowania.

    Powodem braku tej imho ważnej informacji w tekście Webhostingu jest to, że w pierwotnej wersji newsa, który został tam przetłumaczony z:

    http://www.heise.de/security/news/meldung/143328

    była informacja o tym, że nic nie jest do admina wysyłane. Zostało to zmienione i uzupełnione – wystarczy poszukać słówka "update" w niemieckim tekście.

    pokaż komentarz
    breeder
  • Hekko-eu +4  

    @breeder
    rozumiem cie, ale ja tylko dodalem wykop, nie jestem autorem artykulu i nie mam nic wspolnego z webhosting.pl wiec nie rozumiem o co te pretensje do mnie

    pokaż komentarz
    Hekko-eu
  • breeder +1  

    Spoko, no offense, nie pisałem "poprawcie w tekście" do Ciebie, tylko do potencjalnych autorów ksera. :) A odezwałeś się do mnie, to odpowiedziałem o co mi konkretnie chodzi.

    pokaż komentarz
    breeder
pokaż 

Wykopali i zakopali (111 / 20)