Comments 44
Часто за всем не уследишь :) А вы — молодец! Так и нужно реагировать на подобные вещи!
+21
UFO just landed and posted this here
Уже не первый раз, однако.
Эх, QIP, эх, РБК.
Эх, QIP, эх, РБК.
+4
UFO just landed and posted this here
UFO just landed and posted this here
Вот тут есть произношение.
www.google.ru/dictionary?source=translation&hl=ru&q=hacker&langpair=en|ru
www.google.ru/dictionary?source=translation&hl=ru&q=hacker&langpair=en|ru
0
Надеюсь что действительно только Вы один до этого додумались, другие то могли и сплоиты повесить на квип.ру, а еще другие заразить скачиваемые аськи своими троянами, да или просто угнать пароли, мы то знаем что сервис webim.qip.ru сохраняет все переписки наши, пароли и так далее и жестко навязывают конечному пользователю свой jabber аккаунт у них, без которого не запуститься qip если не иметь сноровку.
+2
UFO just landed and posted this here
жестко навязывают конечному пользователю свой jabber аккаунт
Молодцы же!
+13
> Вы один до этого додумались, другие то могли и сплоиты повесить на квип.ру, а еще другие заразить скачиваемые аськи своими троянами
Уже не модно :) Старые сборки qip 2005 были заражены Induc'ом.
Уже не модно :) Старые сборки qip 2005 были заражены Induc'ом.
+1
жестко навязывают конечному пользователю свой jabber аккаунт у них, без которого не запуститься qip
qip 2010 вам в помощь
+1
infium.exe" /isolated
+2
говори «их», не «ихний»
+11
Любой программист должен заучить мантру: «Не доверяй данным»
+3
Есть ещё одна, реже используемая: «Они ни в коем случае не должны напрямую участвовать в инклудах.»
Можно использовать if, case, etc…
Например:
Или так (упрощённый вариант):
… и ещё полторы тысячи способов фильтрации данных, применяемых по обстоятельствам.
Но никогда не должно быть чего-то подобного: include($_POST['data']);
Можно использовать if, case, etc…
Например:
$city = trim($_POST['data']);
if (!empty($city)) {
switch($city) {
case '1':
case '2':
case '3':
$this->showBlock($city);
break;
default:
$this->showError(404);
break;
}
}
Или так (упрощённый вариант):
$city = trim($_POST['data']);
if (!empty($city) and is_numeric($city)) {
$this->showBlock($city);
}else{
$this->showError(404);
}
… и ещё полторы тысячи способов фильтрации данных, применяемых по обстоятельствам.
Но никогда не должно быть чего-то подобного: include($_POST['data']);
+2
Всем спасибо за комментарии, было приятно.
+2
«Проверяйте всё, что вводит пользователь. По умолчанию он злоумышленник» (с) habrahabr.ru/blogs/php/12067/
+1
Им не привыкать
0
Сколько здесь античатовцев…
+3
UFO just landed and posted this here
Мораль проще, не include'ь и не require'ь файлы с именами из параметров запроса оО
+2
UFO just landed and posted this here
Я считаю, они должны вам денег. Могли пострадать, если бы вы не сообщили о дыре.
0
Ну, раз столько пафоса про простую дырку, значит денег вам не дали :)
-1
>>> Правда закрыл не с первого раза, сначала они сделали замену "/" в переменной, то есть, была возможность юзать "\"…
Ужас, он хотя бы информатику в школе учил интересно?
Ужас, он хотя бы информатику в школе учил интересно?
-1
Sign up to leave a comment.
Уязвимость сайта qip.ru