думаю тут скорее гугл или яндекс, т.к. информации много и никто не соберётся собрать всё в одну кучу ) решение проблема и поиск проблемы по мере её появления, вот так работают с друпалом
думаю тут скорее гугл или яндекс, т.к. информации много и никто не соберётся собрать всё в одну кучу ) решение проблема и поиск проблемы по мере её появления, вот так работают с друпалом
гугл всегда в помощь, просто слишком много лишнего там...но за это время что-то вроде насобирала))))
просто думала,что мало ли есть какой ни то хороший сайт в заначке..=)
конечно с нахождениями уязвимостей Drupal'a, чувствую, что будет еще хуже...
Надо и себе какой-нибудь второй аккаунт создать, "Аленушка" или "Катюшенька". Как все шустренько забегались сразу дамочке с милой мордашкой на фото помочь - прям душа не нарадуется))
Надо и себе какой-нибудь второй аккаунт создать, "Аленушка" или "Катюшенька". Как все шустренько забегались сразу дамочке с милой мордашкой на фото помочь - прям душа не нарадуется))
Нет,курсовик: найти уязвимости друпала!(просмотреть несколько версий, и найти уязвимости 10 разными способами)
хочешь сказать,что типа эта не моя фотография, или что?
ты мне предлагаешь, тратить время на придумывания какого-то сраного ника, вставить какую-нибудь картинку,зато я буду как все....бред, ты пишешь, уважаемый! просто,что именно хотела найти, реально не получилось...решила спросить, или нельзя????
ты мне предлагаешь, тратить время на придумывания какого-то сраного ника, вставить какую-нибудь картинку,зато я буду как все....бред, ты пишешь, уважаемый!
Уважаемая, я вам лично никаких претензий не предьявлял. Это были мысли вслух о сообществе, которое часто голодное на женскую ласку, поэтому на вопросы по API простых смертных не отвечают, хотя знают ответы, а на вопросы дам (какими бы они не были ("они" - вопросы, а не дамы)) сразу рвут клавиатуру на части, стараясь угодить. Ваша естественная красота не подвергается сомнению, она подвержена интересу тех форумчан, у которых уже наступило половое созревание. Это природно, не волнуйтесь.
Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.
Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.
знаю,что найти сложно, но мне же можно уязвимости старых версий, в которых разработчики уже нашли что-то...самое ужасное,что надо провести не меньше 10 различных тестирований...хотя бы теоретическую часть нормальную найти (пример, анализ материалов, касающихся уязвимости)
Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.
нашла я уязвимость, и взломать даже получилось..ну естесственно, у себя на компе)
эта была первая моя ссылка, вот сегодня вечером надо было сдать на проверку,сдам рано утром....надеюсь за ночь накалякаю что ни то
сейчас пытаюсь протестить Drupal через hydra, она зараза консольная, еще с установкой ее запары будут)
У вандюка есть книги по 5, 6 и вроде уже есть по 7 друпалу.
Там описывается отлично архитектура друпала.
конечно читать надо на английском. Русский перевод, страшен также как и баба яга.
По безопасности надо читать http://drupal.org/.
Там все есть. Готовых текстов нет.
эта была первая моя ссылка, вот сегодня вечером надо было сдать на проверку,сдам рано утром....надеюсь за ночь накалякаю что ни то
сейчас пытаюсь протестить Drupal через hydra, она зараза консольная, еще с установкой ее запары будут)
Никоим образом не хочу поставить ваши действия под сомнения, но что вы собрались тестить гидрой?
Гидра это брутфорсилка, кагбе она совсем не для тестов и работает на более низком уровне чем друпал.
у меня ей не получилось, посоветовали, но ничего не вышло...вот ищу тесты,которые подойдут для друпал...во время курсовик не сдала, приходится в праздники делать
для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.
описание кода: код забирает все пользовательские cookie, которые хранятся в одном img и помещает в одну пиксельную картинку( на java написала маленькое web приложение...куда сохранялись cookie). То есть скрипт php - принимает на вход один параметр, в который мы записываем cookie. Этот скрипт делает очень простую вещь: все, что приходит в get параметре, обрабатывается страницей test.jsp и выводится в консоль eclipse.
потом копируем ссылку эту и отправляем администратору..когда он зайдет на эту страницу, у меня появятся его куки.... потом со своего пользователя открываешь все куки и там есть одна анонимная сессионная cookie, в Drupal 6х она ставиться по умолчанию.
Зная, что cookie можно отредактировать, мы открываем eclipse, находим в конселе cookie администратора, копируем ее содержимое, вставляем данные в поля Name и Value, нажимаем ОК, обновляем сайт и мы автоматически заходим под администратором root
вот вкратце)
для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.
для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.
описание кода: код забирает все пользовательские cookie, которые хранятся в одном img и помещает в одну пиксельную картинку( на java написала маленькое web приложение...куда сохранялись cookie). То есть скрипт php - принимает на вход один параметр, в который мы записываем cookie. Этот скрипт делает очень простую вещь: все, что приходит в get параметре, обрабатывается страницей test.jsp и выводится в консоль eclipse.
потом копируем ссылку эту и отправляем администратору..когда он зайдет на эту страницу, у меня появятся его куки.... потом со своего пользователя открываешь все куки и там есть одна анонимная сессионная cookie, в Drupal 6х она ставиться по умолчанию.
Зная, что cookie можно отредактировать, мы открываем eclipse, находим в конселе cookie администратора, копируем ее содержимое, вставляем данные в поля Name и Value, нажимаем ОК, обновляем сайт и мы автоматически заходим под администратором root
вот вкратце)
boneg ведь писал вам уже по этому поводу
"boneg" wrote:
Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.
какая же это уязвимость... это кривые руки разработчика=))
Комментарии
http://api.drupal.org/api/drupal
спасибо, тут уже читала....хотелось бы найти что-то вроде такого http://www.khivrin.com/files/ALTWeb_CMS.pdf 12-13 страницы, только не об Amiro, а о Drupal!
думаю тут скорее гугл или яндекс, т.к. информации много и никто не соберётся собрать всё в одну кучу ) решение проблема и поиск проблемы по мере её появления, вот так работают с друпалом
гугл всегда в помощь, просто слишком много лишнего там...но за это время что-то вроде насобирала))))
просто думала,что мало ли есть какой ни то хороший сайт в заначке..=)
конечно с нахождениями уязвимостей Drupal'a, чувствую, что будет еще хуже...
если по 6-й версии, то читайте Д.Вандюка...
по всем версиям надо, спасибо, надеюсь,что пригодится))
Реферат по друпалу задали?
Надо и себе какой-нибудь второй аккаунт создать, "Аленушка" или "Катюшенька". Как все шустренько забегались сразу дамочке с милой мордашкой на фото помочь - прям душа не нарадуется))
Нет,курсовик: найти уязвимости друпала!(просмотреть несколько версий, и найти уязвимости 10 разными способами)
хочешь сказать,что типа эта не моя фотография, или что?
ты мне предлагаешь, тратить время на придумывания какого-то сраного ника, вставить какую-нибудь картинку,зато я буду как все....бред, ты пишешь, уважаемый! просто,что именно хотела найти, реально не получилось...решила спросить, или нельзя????
Уважаемая, я вам лично никаких претензий не предьявлял. Это были мысли вслух о сообществе, которое часто голодное на женскую ласку, поэтому на вопросы по API простых смертных не отвечают, хотя знают ответы, а на вопросы дам (какими бы они не были ("они" - вопросы, а не дамы)) сразу рвут клавиатуру на части, стараясь угодить. Ваша естественная красота не подвергается сомнению, она подвержена интересу тех форумчан, у которых уже наступило половое созревание. Это природно, не волнуйтесь.
Уязвимости в существующем ядре друпала кроме вас ищут постоянно еще сами разработчики Drupal, поэтому трудно представить, что вы их так просто найдете до того момента, когда будет нужно защищать ваш курсовик. Уязвимости появляются, когда непосредственно разработчики сайтов криво настраивают систему прав, криво работают с DB Abstraction Layer и криво пишут валидацию для форм и вывод информации своими шаблонами, забывая резать потенциально опасные данные.
знаю,что найти сложно, но мне же можно уязвимости старых версий, в которых разработчики уже нашли что-то...самое ужасное,что надо провести не меньше 10 различных тестирований...хотя бы теоретическую часть нормальную найти (пример, анализ материалов, касающихся уязвимости)
нашла я уязвимость, и взломать даже получилось..ну естесственно, у себя на компе)
http://drupal.org/node/3060/release - тут все есть.
эта была первая моя ссылка, вот сегодня вечером надо было сдать на проверку,сдам рано утром....надеюсь за ночь накалякаю что ни то
сейчас пытаюсь протестить Drupal через hydra, она зараза консольная, еще с установкой ее запары будут)
У вандюка есть книги по 5, 6 и вроде уже есть по 7 друпалу.
Там описывается отлично архитектура друпала.
конечно читать надо на английском. Русский перевод, страшен также как и баба яга.
По безопасности надо читать http://drupal.org/.
Там все есть. Готовых текстов нет.
спасибо
Никоим образом не хочу поставить ваши действия под сомнения, но что вы собрались тестить гидрой?
Гидра это брутфорсилка, кагбе она совсем не для тестов и работает на более низком уровне чем друпал.
у меня ей не получилось, посоветовали, но ничего не вышло...вот ищу тесты,которые подойдут для друпал...во время курсовик не сдала, приходится в праздники делать
Гидрой или блокнотом?
покажите, похвалитесь.
видео преподу сняла, как взламывала, ток там мой противный голос...сюда точно скидывать не буду)))
молотком.
кувалдой,блин)
А не нужно видео. Уязвимость саму покажите и метод взлома опишите. Что-то как-то не очень на правду похоже.
для Drupal6, если аккаун имеет доступ на создание материалов и на доступ на создание истории с Full HTML форматом. и он знает о XSS, то можно написать небольшой java.script. Вставим его в описание истории.
описание кода: код забирает все пользовательские cookie, которые хранятся в одном img и помещает в одну пиксельную картинку( на java написала маленькое web приложение...куда сохранялись cookie). То есть скрипт php - принимает на вход один параметр, в который мы записываем cookie. Этот скрипт делает очень простую вещь: все, что приходит в get параметре, обрабатывается страницей test.jsp и выводится в консоль eclipse.
потом копируем ссылку эту и отправляем администратору..когда он зайдет на эту страницу, у меня появятся его куки.... потом со своего пользователя открываешь все куки и там есть одна анонимная сессионная cookie, в Drupal 6х она ставиться по умолчанию.
Зная, что cookie можно отредактировать, мы открываем eclipse, находим в конселе cookie администратора, копируем ее содержимое, вставляем данные в поля Name и Value, нажимаем ОК, обновляем сайт и мы автоматически заходим под администратором root
вот вкратце)
Настя, у вас фамилия не Капитан?
Drupal 7 тоже реально взломать, только там надо побольше код написать...потому,что куки так ты не найдешь))
boneg ведь писал вам уже по этому поводу
какая же это уязвимость... это кривые руки разработчика=))
я выломал куки![Wink](https://drupal.ru/sites/all/modules/contrib/smiley/packs/kolobok/wink.gif)
Настя, это хухня полная. С таким же успехом, можно заявить, что я взломал друпал, удалил бд, имея пароли от сервера.
Это не взлом.
Отличный взлом. Почему тогда сразу не разрешить всем юзерам использовать PHP в комментариях?
Правильно говорить "НАСТЕНЬКА"
возможно, мне надо было найти уязвимости...я нашла...так,что пофиг)))