Объявление


КСП "Торпедо" им. Эдуарда Стрельцова -> Чемпионаты -> Межсайтовый турнир Wenger "Лига КСП «Торпедо»" - 2019/2020 -> Wenger "Лига КСП «Торпедо»". Финальный турнир (1 стадия). 1 тур. Сроки проведения тура (18.01.2020-25.01.2020)

Программа матчей

1(Германия) Фортуна - Вердер2
2(Германия) Майнц 05 - Фрайбург2
3(Англия) Уэст Хэм - Эвертон0
4(Англия) Норвич Сити - Борнмут1
5(Италия) Сассуоло - Торино1
6(Нидерланды) Фортуна Ситтард - Витесс2
7(Португалия) Белененсиш - Виттория Сетубал2
8(Бельгия) Зульте-Варегем - Генк2
9(Турция) Бешикташ - Сивасспор2
10(Греция) Ксанти - Панатинаикос2
11(Испания) Атлетик - Сельта0
12(Испания) Бетис - Реал Сосьедад1
13(Италия) Брешия - Кальяри0

Матчи


Результаты


Прислали прогнозы

СПАРТАНЦЫ IT (2020-01-18 09:12:51)
Эксперты IBUрrоg (2020-01-18 09:00:33)
ФК Форвард (2020-01-17 22:54:59)
Жемчужина Кузбасса (2020-01-18 13:44:52)
Liga1.ru (2020-01-18 08:04:09)
Кубанская Лига Прогнозов (2020-01-17 22:04:03)
КФП Арсенал (2020-01-18 06:34:29)
ОЛФП (2020-01-18 12:51:17)
KFP.RU (2020-01-18 13:58:51)
Red Anfield (2020-01-18 14:52:06)
Onedivision (2020-01-18 11:06:19)
АФК Кузбасс (2020-01-18 14:20:11)
7-40 (2020-01-18 13:44:21)
Fprognoz.com (2020-01-18 02:38:53)
АСП "Погоня" (2020-01-18 12:45:07)
ВФЛ КБК (2020-01-18 09:52:07)
Профессионалы прогноза (2020-01-18 11:21:58)
SaSiSa (2020-01-18 12:26:11)
Чемпионат Прогнозов (2020-01-18 14:31:28)
SEclub.org (2020-01-18 13:49:38)
КЛФП "Харьков" (2020-01-18 10:58:22)
SFP (2020-01-18 14:55:37)
Красно-белый Израиль (2020-01-17 21:35:16)

Нет прогнозов от

Мегаспорт

Обзоры

Комментарии

"Внезапно. Неявка Мегаспорта"

Приношу свои извинения за неявку организаторам турнира, соперникам и своей команде. Это случилось по моей вине. Такой фэйл на командном уровне у меня впервые. Причину Кириллу и команде объяснил.
сухОФрукт (2020-01-20 14:13:41)
Открыт для прогноза 2 тур
http://torpedoru.com/tour.php?id=2351
da_basta (2020-01-18 21:27:48)
Все команды поздравляю со стартом турнира!
da_basta (2020-01-18 20:02:17)
Внезапно. Неявка Мегаспорта
da_basta (2020-01-18 15:01:39)
Что за шухер тут такой?
Хоттыбыч лютует?)
Ящер (2020-01-18 14:38:25)
Спасибо Ивану за найденную уязвимость. Эта дыра теперь тоже закрыта.
В субботу посмотрю код сайта на предмет других уязвимостей.
sessa (2020-01-16 18:44:56)
Залатаем и это. Не стал лезть глубоко в код сайта и закрыл первую очевидную дырку, но оказалось не всё так просто.
Спасибо взломщику за настойчивость, благородность и желание помочь обезопасить сайт.
И снова взломщик пишет: зашел из интереса, посмотреть ответы. Вы прекрасные люди, такой позитивной реакции я не ожидал. Надеюсь вы сможете исправить проблемы безопасности, чтобы ни одна хакерская зараза не смогла пролезть к вам на сайт.
Да, не нашел здесь подобия личных сообщений, мог бы скинуть код sql инъекции, с помощью которой на ваш сайт можно войти в качестве администратора. Сюда писать страшно, код сможет использовать любой в корыстных целях. Так если и скидывать, то приватно и только тому, кто будет это чинить. Жду предложений)
sessa (2020-01-16 11:56:56)
Сереж, ну уровень настолько повысился, что нас уже ломают!!!! Такими темпами мы вылетим на первые строчки поисковиков).
Или вообще закроемся, в связи с сомнением в безопасности сайта. )))))
da_basta (2020-01-16 10:53:08)
Так пациент скорее что? ))))

А если вообще ничего не писать в комментариях к турам - пресловутые "инъекции" не повлияют?

Вот так любимый турнир (в первую очередь - из-за качества его освещения в комментариях и пресс-релизах) пытается взрослеть... Поможем чем можем.

Ответ: Пациент жив, хоть и ранен. Наверное вы неправильно поняли. Я использовал sql инъекцию, чтобы миновать проверку пароля и зайти сразу под любым логином. У вас есть база пользователей, у каждого из них как минимум есть логин и пароль. При вводе этих данных в поля формы входа на сайт, делается проверка, совпадает ли пароль с паролем в базе для этого логина. Я же, использовав дыру в безопасности, отключаю для себя проверку пароля. Получается, я могу ввести любой логин, который есть в базе данных и зайти в него, абсолютно не зная пароля. Я вхожу под логином "admin", поэтому имею полный доступ к управлению сайтом. А теперь представьте, если такой доступ попадет в плохие руки. Можно удалить всех пользователей, все записи. Звучит ужасно. Поэтому проблему эту желательно решить.
Keeper (2020-01-16 10:50:17)
Однозначно, спасибо.
Снова от "взломщика": было бы еще неплохо отключить показ сообщений об ошибках в sql. Если в форме входа на сайт в поле "логин" ввести одинарную кавычку и войти на сайт, выдаст ошибку, текст которой помогает взломщику узнать некоторую информацию о сайте. Я, например, узнал название таблицы с данными пользователей и количество столбцов в ней. Так что программа минимум для защиты сайта от подобных атак: отключить показ ошибок sql, и фильтр введенных пользователем данных. Чтобы я не смог написать кавычку, точку с запятой или решетку, которые могут поменять код или вовсе отключить его часть. Это не сложно, можете посмотреть в интернете, как это делается. Я же могу только пожелать вам удачи в этом нелегком деле)
Sergo (2020-01-16 10:41:43)
1
Результаты игроков