Дыры в вап чате

@Vassia · Регистрация: 22.10.2010

Студворк — интернет-сервис помощи студентам

Здравствуйте. Вот у меня есть wap чат, там много дыр. Как они вообще выгледят? Как их можно закрыть?

@TBIKC · 09.04.2011, 20:36

Не по теме:

Ты сказал там много дыр а далее спрашиваешь как они вообще выглядт?
Это как вообще понять ? :)

@ostgals · 09.04.2011, 20:45

Налей в чат воды и посмотри, не течет ли где...

А если серьезно, то вопрос несерьезен изначально.
Если есть инфа, что чат дырявый, то видимо есть и инфа, где эти дыры.
Выкладывайте "дырявый" код - мы его обсудим.

@Vassia · 09.04.2011, 21:18 **[ТС]**

Сообщение от ostgals

Налей в чат воды и посмотри, не течет ли где...

А если серьезно, то вопрос несерьезен изначально.
Если есть инфа, что чат дырявый, то видимо есть и инфа, где эти дыры.
Выкладывайте "дырявый" код - мы его обсудим.

Ко мне в чат зашел парень, сказал что чат дрявый, потом стал писать без ника, а потом вышел. Как это он сдела, я не знаю, но он сказал что еще много дыр в чате.

@ostgals · 09.04.2011, 21:24

Ну.. Значит, точно дырявый.
Самый частый источник дыр - плохая проверка и фильтрация данных, получаемых от пользователя.
Почитайте что-нибудь о том, как сделать сайт безопасным - в интернете много материала на эту тему.

@op · 10.04.2011, 02:13

закрытие уязвимостей заказывайте за денежки.а лучше не ставте паблик wap скрипты. большинство из них уязвимы

@Vassia · 10.04.2011, 04:46 **[ТС]**

Я все понимаю, если кто возьмется закрыть дыры, то я заплочу. Правда больших ганораров не обещаю, нет таких денег.
Да, может занет как закрыть доступ нежилательным людям? Вот например у человека айпи и софт
IP: 88.155.9.176 ()
Soft: Opera Mini (SIES65)
Но, я его баню даже по связке, но он все равно заходит.

@op · 10.04.2011, 04:48

напишите в icq 57-06-09
если чтото быстрое то за пиво помогу.

@Vassia · 10.04.2011, 07:32 **[ТС]**

Вот, нашли дыру, где она находится. Просто нет проверки на авторизацию при добавлении сообщения,тоесть незарегестрированый пользователь может добавить сообщение! Может кто посмотрит, и поможет сделать эту проверку.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
<?
require'config.php';
if (!ctype_digit($_GET['rm'])){header('Location: index?'.SID);die;}
$rm = intval($_GET['rm']);
$user['avr'] = 0;
$align='left';
$title='Сказать';
aut();
head();
 
$rooms = $db->sql_fetchrow($db->sql_query("SELECT * FROM `rooms` WHERE `rm` = '$rm'"));
 
if ($rooms['intim']==1){
if(!isset($_POST['inps']) && isset($_SESSION['inps']))$inps = check(intval($_SESSION['inps']));
else $inps = check(intval($_POST['inps']));
$_SESSION['inps'] = $inps;
}
if(empty($inps)) $inps = 0;
 
 
if (($rooms['sartir']!=1) && ($user['kik']>$time)){
echo '<b>'.user($user['whokik']).'</b> выпнул вас из чата на <b>'.kikt($user['kik']).'</b> <br />Причина: <b>'.$user['whykik'].'</b><br />';
$rooms = $db->sql_query("SELECT * FROM `rooms` WHERE sartir = '1' ORDER BY `pos` ASC");
if($db->sql_numrows($rooms)!=0)echo 'Вам разрешен доступ только в<br />';
while($room = $db->sql_fetchrow($rooms)){
if ($room['level']<=$user['level'])echo '<a href="room?rm='.$room['rm'].'">'.$room['name'].'</a><br />';}
echo '<br />';
echo gbinroom.'<a href="enter">Прихожая</a>'.div;
foot();
}
 
if (empty($act)){
if ($ver!='wml')echo '<form action="tell?rm='.$rm.'&amp;act=add&amp;'.SID.'" method="post">';
if ($ver=='wml')echo '<br/><input name="msg'.$ref.'" maxlength="512" title="Text"/><br/>';
else echo'<br><textarea cols="70" rows="12" name="msg"></textarea><br /><br>';
 
if ($user['dd']!=0){
if ($user['level']>=4){
echo '<select name="dd">
<option value="0" selected="selected">Шрифт</option>
<option value="1">Наклонный</option>';
if ($user['level']>=5) echo '<option value="2">Подчёркнутый</option>';
if ($user['level']>=6) echo '<option value="3">Накл. и подч.</option>';
if ($user['level']>=6) echo '<option value="4">Жирный</option>';
if ($user['level']>=7) echo '<option value="5">Жирн. и подч.</option>';
if ($user['level']>=7) echo '<option value="6">Огромный</option>';
echo '</select><br />';
}
}
if ($user['emo']!=0){
echo '<select name="emo">
<option value="0" selected="selected">Эмоции</option>
<option value="1">Радостно</option>
<option value="2">Печально</option>
<option value="3">Удивленно</option>
<option value="4">Ласково</option>
<option value="5">Смущенно</option>
<option value="6">Кокетливо</option>
<option value="7">Обиженно</option>
<option value="8">Настойчиво</option>
<option value="9">Шепотом</option>
<option value="10">Задумчиво</option>
<option value="11">Злобно</option>
</select><br />';
}
 
if ($user['color']!=0){
echo '<select name="color">
<option value="0" selected="selected">Цвет</option>
<option value="1">Красный</option>
<option value="2">Синий</option>
<option value="3">Сереневый</option>
<option value="4">Зеленый</option>
</select><br />';
}
 
if ($ver=='wml'){
echo '<br /><anchor title="go">Сказать<go href="tell?rm='.$rm.'&amp;act=add&amp;'.SID.'" method="post">';
echo '<postfield name="msg" value="$msg'.$ref.'"/>
<postfield name="dd" value="$dd"/>
<postfield name="emo" value="$emo"/>
<postfield name="color" value="$color"/>
</go></anchor>';
echo '<br/><br />';
}else{
echo '<br /><input type="submit" class="ibutton" value="Сказать"/></form><br /><br />';
}
 
 
 
}else{
$msg = check($_POST['msg']);
$dd = check($_POST['dd']);
$emo = check($_POST['emo']);
$color = check($_POST['color']);
$prvt = check($_POST['prvt']);
 
if(isset($_GET['nk'])) $nk = intval($_GET['nk']);
else $nk = 0;
 
if($prvt!=0){
if(isset($_POST['prvt']) && isset($_GET['nk'])) $privat = intval($_GET['nk']);
}else $privat = 0;
 
if (strlen2($msg)<2){header ('Location: room?rm='.$rm.'&'.SID); exit;}
 
$msg = iconv('utf-8', 'windows-1251', $msg);
$msg = substr($msg,0,512);
$msg = iconv('windows-1251', 'utf-8', $msg);
if ($user['translit']==1)$msg = translit($msg);
 
$mess=$db->sql_fetchfield($db->sql_query("select COUNT(*) from message WHERE `user_id` = '$user[id]'  and `time`>'".($time - $rooms['flyd'])."';"),0);
if ($mess > 0){ header ('Location: room?rm='.$rm.'&err=t&'.SID.''); exit;}
 
if ($rooms['inkog']!=0){
$db->sql_query ("INSERT INTO message (user,user_id,time,msg,rm,emo,bb,color,komu,privat) VALUES ('Аноним','0','$time','$msg','$rm','$emo','$dd','$color','$nk','$privat')");
}else{
$db->sql_query ("INSERT INTO message (user,user_id,time,msg,rm,emo,bb,color,komu,privat,inps) VALUES ('$user[user]','$user[id]','$time','$msg','$rm','$emo','$dd','$color','$nk','$privat','$inps')");
}
 
posts_add();
 
if ($rooms['umnik']!=0) require H.'bots/umnik3.php';
if ($rooms['tupica']!=0) require H.'bots/umnikmat2.php';
if ($rooms['tupica']!=0) require H.'bots/tupica2.php';
if ($rooms['flyder']!=0) require H.'bots/flyder.php';
 
header ('Location: room?rm='.$rm.'&'.SID);exit;
 
}
 
 
echo gb.'<a href="room?rm='.$rm.'">В чат </a>'.div;
 
foot();
?>

Добавлено через 20 минут
Все, ошибку исправили!!!

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Vassia 4 / 4 / 0 Регистрация: 22.10.2010 Сообщений: 61

	Дыры в вап чате 09.04.2011, 18:26. Показов 2357. Ответов 8 Метки нет (Все метки) Здравствуйте. Вот у меня есть wap чат, там много дыр. Как они вообще выгледят? Как их можно закрыть? 0

@TBIKC
	09.04.2011, 20:36
	Не по теме: Ты сказал там много дыр а далее спрашиваешь как они вообще выглядт? Это как вообще понять ? :) 0

@ostgals 886 / 681 / 101 Регистрация: 23.01.2009 Сообщений: 1,582
	09.04.2011, 20:45
	Налей в чат воды и посмотри, не течет ли где... А если серьезно, то вопрос несерьезен изначально. Если есть инфа, что чат дырявый, то видимо есть и инфа, где эти дыры. Выкладывайте "дырявый" код - мы его обсудим. 1

@ostgals 886 / 681 / 101 Регистрация: 23.01.2009 Сообщений: 1,582
	09.04.2011, 21:24
	Ну.. Значит, точно дырявый. Самый частый источник дыр - плохая проверка и фильтрация данных, получаемых от пользователя. Почитайте что-нибудь о том, как сделать сайт безопасным - в интернете много материала на эту тему. 0

@op 21 / 18 / 4 Регистрация: 06.12.2010 Сообщений: 62
	10.04.2011, 02:13
	закрытие уязвимостей заказывайте за денежки.а лучше не ставте паблик wap скрипты. большинство из них уязвимы 0

@Vassia 4 / 4 / 0 Регистрация: 22.10.2010 Сообщений: 61
	10.04.2011, 04:46 [ТС]
	Я все понимаю, если кто возьмется закрыть дыры, то я заплочу. Правда больших ганораров не обещаю, нет таких денег. Да, может занет как закрыть доступ нежилательным людям? Вот например у человека айпи и софт IP: 88.155.9.176 () Soft: Opera Mini (SIES65) Но, я его баню даже по связке, но он все равно заходит. 0

@op 21 / 18 / 4 Регистрация: 06.12.2010 Сообщений: 62
	10.04.2011, 04:48
	напишите в icq 57-06-09 если чтото быстрое то за пиво помогу. 1