Объявление
1 | (Германия) Фортуна - Вердер | 2 |
2 | (Германия) Майнц 05 - Фрайбург | 2 |
3 | (Англия) Уэст Хэм - Эвертон | 0 |
4 | (Англия) Норвич Сити - Борнмут | 1 |
5 | (Италия) Сассуоло - Торино | 1 |
6 | (Нидерланды) Фортуна Ситтард - Витесс | 2 |
7 | (Португалия) Белененсиш - Виттория Сетубал | 2 |
8 | (Бельгия) Зульте-Варегем - Генк | 2 |
9 | (Турция) Бешикташ - Сивасспор | 2 |
10 | (Греция) Ксанти - Панатинаикос | 2 |
11 | (Испания) Атлетик - Сельта | 0 |
12 | (Испания) Бетис - Реал Сосьедад | 1 |
13 | (Италия) Брешия - Кальяри | 0 |
Комментарии
Приношу свои извинения за неявку организаторам турнира, соперникам и своей команде. Это случилось по моей вине. Такой фэйл на командном уровне у меня впервые. Причину Кириллу и команде объяснил.
http://torpedoru.com/tour.php?id=2351
Хоттыбыч лютует?)
В субботу посмотрю код сайта на предмет других уязвимостей.
Спасибо взломщику за настойчивость, благородность и желание помочь обезопасить сайт.
И снова взломщик пишет: зашел из интереса, посмотреть ответы. Вы прекрасные люди, такой позитивной реакции я не ожидал. Надеюсь вы сможете исправить проблемы безопасности, чтобы ни одна хакерская зараза не смогла пролезть к вам на сайт.
Да, не нашел здесь подобия личных сообщений, мог бы скинуть код sql инъекции, с помощью которой на ваш сайт можно войти в качестве администратора. Сюда писать страшно, код сможет использовать любой в корыстных целях. Так если и скидывать, то приватно и только тому, кто будет это чинить. Жду предложений)
Или вообще закроемся, в связи с сомнением в безопасности сайта. )))))
А если вообще ничего не писать в комментариях к турам - пресловутые "инъекции" не повлияют?
Вот так любимый турнир (в первую очередь - из-за качества его освещения в комментариях и пресс-релизах) пытается взрослеть... Поможем чем можем.
Ответ: Пациент жив, хоть и ранен. Наверное вы неправильно поняли. Я использовал sql инъекцию, чтобы миновать проверку пароля и зайти сразу под любым логином. У вас есть база пользователей, у каждого из них как минимум есть логин и пароль. При вводе этих данных в поля формы входа на сайт, делается проверка, совпадает ли пароль с паролем в базе для этого логина. Я же, использовав дыру в безопасности, отключаю для себя проверку пароля. Получается, я могу ввести любой логин, который есть в базе данных и зайти в него, абсолютно не зная пароля. Я вхожу под логином "admin", поэтому имею полный доступ к управлению сайтом. А теперь представьте, если такой доступ попадет в плохие руки. Можно удалить всех пользователей, все записи. Звучит ужасно. Поэтому проблему эту желательно решить.
Снова от "взломщика": было бы еще неплохо отключить показ сообщений об ошибках в sql. Если в форме входа на сайт в поле "логин" ввести одинарную кавычку и войти на сайт, выдаст ошибку, текст которой помогает взломщику узнать некоторую информацию о сайте. Я, например, узнал название таблицы с данными пользователей и количество столбцов в ней. Так что программа минимум для защиты сайта от подобных атак: отключить показ ошибок sql, и фильтр введенных пользователем данных. Чтобы я не смог написать кавычку, точку с запятой или решетку, которые могут поменять код или вовсе отключить его часть. Это не сложно, можете посмотреть в интернете, как это делается. Я же могу только пожелать вам удачи в этом нелегком деле)