Уязвимость сайта qip.ru

[lavi]

Часто за всем не уследишь :) А вы — молодец! Так и нужно реагировать на подобные вещи!

[romy4]

за POSTом надо следить в первую очередь независимо от того какой сложности скрипт ты пишешь.

[mr_gorbunov]

Уже не первый раз, однако.

Эх, QIP, эх, РБК.

[3ybHa9_Fe9]

Им нравится

[kurokikaze]

No one's perfect.

[xeningem]

Вот тут есть произношение.
www.google.ru/dictionary?source=translation&hl=ru&q=hacker&langpair=en|ru

[nekufa]

Да, потому что hash звучит как хэш, а hacker как хакер.
При чём там буква э?
Вы hewlett packard тоже читаете как пэкард? :)

[ReaM]

Надеюсь что действительно только Вы один до этого додумались, другие то могли и сплоиты повесить на квип.ру, а еще другие заразить скачиваемые аськи своими троянами, да или просто угнать пароли, мы то знаем что сервис webim.qip.ru сохраняет все переписки наши, пароли и так далее и жестко навязывают конечному пользователю свой jabber аккаунт у них, без которого не запуститься qip если не иметь сноровку.

[ReaM]

В этот раз да, видимо обошлось.

[lasthero]

Не первый раз qip.ru нагибают, опыт уже есть.

[Devix]

жестко навязывают конечному пользователю свой jabber аккаунт

Молодцы же!

[mr_gorbunov]

*холивар начинается здесь*

[Devix]

</thread>

[TWINc]

> Вы один до этого додумались, другие то могли и сплоиты повесить на квип.ру, а еще другие заразить скачиваемые аськи своими троянами

Уже не модно :) Старые сборки qip 2005 были заражены Induc'ом.

[Terion]

жестко навязывают конечному пользователю свой jabber аккаунт у них, без которого не запуститься qip

qip 2010 вам в помощь

[mlurker]

infium.exe" /isolated

[Isis]

говори «их», не «ихний»

[akira]

Любой программист должен заучить мантру: «Не доверяй данным»

[Quiz]

Есть ещё одна, реже используемая: «Они ни в коем случае не должны напрямую участвовать в инклудах.»
Можно использовать if, case, etc…
Например:

$city = trim($_POST['data']);
if (!empty($city)) {
  switch($city) {
   case '1':
   case '2':
   case '3':
     $this->showBlock($city);
     break;
   default:
     $this->showError(404);
     break;
  }
}


Или так (упрощённый вариант):

$city = trim($_POST['data']);
if (!empty($city) and is_numeric($city)) {
  $this->showBlock($city);
}else{
  $this->showError(404);
}


… и ещё полторы тысячи способов фильтрации данных, применяемых по обстоятельствам.

Но никогда не должно быть чего-то подобного: include($_POST['data']);

[heel]

за шестизнак)

[m0Hze]

Всем спасибо за комментарии, было приятно.

[bogus92]

«Проверяйте всё, что вводит пользователь. По умолчанию он злоумышленник» (с) habrahabr.ru/blogs/php/12067/

[etc]

Им не привыкать

[m0Hze]

Какой вы злой =)

[Isis]

Сколько здесь античатовцев…

[mephisto]

Мораль проще, не include'ь и не require'ь файлы с именами из параметров запроса оО

[glazs]

Я считаю, они должны вам денег. Могли пострадать, если бы вы не сообщили о дыре.

[NaFigator]

Ну, раз столько пафоса про простую дырку, значит денег вам не дали :)

[Prescott]

>>> Правда закрыл не с первого раза, сначала они сделали замену "/" в переменной, то есть, была возможность юзать "\"…

Ужас, он хотя бы информатику в школе учил интересно?

[Ctacok]

«А если заинклдуить логи апача, предварительно снабдив их «ядовитым кодом» в поле User-Agent»

Уже давно есть много различных методов.
/proc/self/environ
Вообще, Xakep.ru

[Ctacok]

/proc/self/environ к примеру был, реально много различных методов:)