burevestnik [Off] [#] (20.07.2008 / 23:18)

Дыры, баги и уязвимости в моторе как были с самого рождения, так и есть до сих пор.
Недавно дрючили сайты visavi.net и pizdec.ru через такой баг:
Навигация по страницам идет по GET переменой "start":

<?php //Пример кода:
if (empty($_GET['start'])) $start = 0;
else $start = $_GET['start'];
if ($total < $start + $config_chatpost){ $end = $total; }
else {$end = $start + $config_chatpost; }
// затем идет перебор ни как не отфильтрованной переменной в цикле:
for ($i = $start; $i < $end; $i++){}
?>

А если указать в параметре вместо числового значения что-нибудь другое, например так:
http://сайтик_c_мотором/chat/i ... t=bag

Цикл будет перебираться, перебираться, перебираться, пока серв не убъет процесс.
Убъет если сможет, например на локалхосте апач вообще от такого зависает.
Есть такой сервис, мониторинга сайтов называется. Например: http://host-tracker.com/ru

Так вот, вводите там подобную ссылку: http://сайтик_c_мотором/chat/i ... t=bag и начинаете ее мониторить, а если открыть несколько окон, и мониторить:
http://сайтик_c_мотором/chat/i ... t=bag
http://сайтик_c_мотором/book/i ... t=bag
http://сайтик_c_мотором/news/i ... t=bag
и так далее. просто подставляя разные рэнды или $_GET[start], типа:
http://сайтик_c_мотором/chat/i ... =3423
http://сайтик_c_мотором/chat/i ... 35464
http://сайтик_c_мотором/chat/i ... y_bag

Мониторинг одной ссылки идет с 62 точек, откройте окон пять, и дрючте. сайтик окажется в суспенде уже через несколько минут. получалось даже слабые сайты на слабеньких хостах засуспендить с помошью мобильника с оперой.

Таким макаром засуспендили за пару минут и visavi.net и pizdec.ru

Это Вантуза не сносят с хоста за такие нагрузки (видать с хостерами вась-вась), а вот большинство других сайтов, за такие нагрузки с хоста слетати в тот же день, причем навсегда, с волчим билетом.

Вантуз логи посмотрел и баги закрыл, и написал в новостях, типа сайтик обновил до 18 версии, но что самое обидное, после этого молчок. а "лицензии" (пишу в кавычках заметить надо) продолжают расходится. А сайты который мотор поставили даж первоклашка может снести.
А когда-то этот проект все вместе развивали.

А можно зарегится на http://host-tracker.com/ru и поставить линки на автоматический мониторинг с интервалом в 1 минуту и пипец сайту на котором мотор стоит.
А баги и другие есть будте уверены, надо только посмотреть лучше.
С уважухой "Буревестник"!

MVramm [Off] [#] (20.07.2008 / 23:25)

Хуясея раньше тоже моторы ломать умел. Пока вантуз не защитил анкеты пользователей

Paxtey [Off] [#] (21.07.2008 / 00:21)

Спасибо братан!Интересно было почитать!

Rarih [Off] [#] (21.07.2008 / 00:41)

Респект

Bizon [Off] [#] (21.07.2008 / 00:54)

гы се на пиздец

Падонагъ [Off] [#] (21.07.2008 / 02:38)

автор гг спасибо,славно поржал

JekaNN [Off] [#] (21.07.2008 / 05:21)

хаха смешно

WildChild [Off] [#] (21.07.2008 / 08:57)

гагага! да мотор вобще хуйня! и неудивительно даже! пусть вантуз хуй сосёт Гг

Esi0n [Off] [#] (21.07.2008 / 10:41)

Если я вижу сайт с мотором проверяю /profil/*.prof у 60% сайтов доступ открыт.. Хеш подобрать 30 минут..

ЛАМЕР [Off] [#] (01.08.2008 / 14:57)

А кто-нить еще дыры знает? Интересно, бля

[Off] [#] (04.08.2008 / 17:00)

Мотор дырявый как жопа автора.. Про 2-е мне сказали

ЛАМЕР [Off] [#] (04.08.2008 / 18:19)

(04.08.2008/12:00):<br />"Мотор дырявый как жопа автора.. Про 2-е мне сказали"А про первое?

[Off] [#] (04.08.2008 / 18:28)

ЛАМЕР(04.08.2008/13:19):<br />"А про первое?"сам знаю

LYCUK [Off] [#] (16.12.2009 / 09:23)

достать хеш админа через приват и уваляяяя

VARG [Off] [#] (17.12.2009 / 09:26) сумашетшый псих

LYCUK, ти некрофил? зочем трупные темы раскапываешЪ?