Нашел баг 5h5.ru

1. Николай (11.04.2012 / 19:48)
Расскажу и вам как скачать файл под паролем, без пароля!
1. Если файл загружен гостем:

http://5h5.ru/files/fm/user_-1/file_Номер Файла/Файл
например
http://5h5.ru/files/fm/user_-1/file_14539/x_5ce5e891.jpg
2. Если файл загружен пользователям:
тут уже намного трудей т.к. нужно будет узнать id кто загрузил

http://5h5.ru/files/fm/user_ID юзера/file_Номер Файла/Файл
например (http://5h5.ru/14545 ) пароль: 1234
http://5h5.ru/files/fm/user_540/file_14545/9519255.jpeg
Вот такая небольшая уязвимость)

2. TRAIL (11.04.2012 / 19:52)
Нуу, и что? smile

3. Николай (11.04.2012 / 19:53)
2. TRAIL, Ну теперь можно файлы скачивать которые под паролем)

4. Павел (11.04.2012 / 19:54)
Trance Mission (11 Апреля 2012 / 23:53)
2. TRAIL, Ну теперь можно файлы скачивать которые под паролем)
взял бы да в саппорт написал

5. TRAIL (11.04.2012 / 19:54)
3. Trance Mission, это ясноsmile , ну это уязвимостью назвать сложно

6. Николай (11.04.2012 / 19:55)
4. GingerBread, наврятли они что то сделают)

7. Руслан (11.04.2012 / 19:59)
Какая это уязвимость? автор ты курил? Баг и не более)

8. Николай (11.04.2012 / 20:00)
7. Masteram, да немного кента с ментолом выкурил)
баг так баг)

9. Никто (11.04.2012 / 20:09)
всмысле не уязвимость?! Любой другой пользователь может получить доступ к персональной информации другого, в идеале находящеяся под паролем, это приравнивается к уровню взлома, взлома пользовательского доступа

10. Антон (11.04.2012 / 20:15)
Это уязвимость, не больше и не меньше. Скачивать файлы под паролем это интересненько, особенно учитывая поднимающуюся популярность этого обменника klass

11. Николай (11.04.2012 / 20:34)
Хорошо что я подумал о защите)

12. Дмитрий (11.04.2012 / 20:38)
Правда что его продали?

13. Николай (11.04.2012 / 20:50)
12. Apocalyps, А хрен его знает)

14. Волан-де-Морт (11.04.2012 / 21:00)
Шо там ценное под паролем чтобы скачать?

15. Николай (11.04.2012 / 21:04)
14. Lord, ну представь ты например хочешь купить скрипт/ну или другую ценну инфу(вдруг там пароли от чего нить), его загрузили на этот сайт тебе дали ссылку и сказали: ,,переводи деньги дам пароль,, , а ты хопа и перехватываешь этот файл

Это говорит о том что не безопастно загружать файлы(как например пароли от чего либо,платные скрипты/дизайны и т.д.) на этот сайт. что их теперь могут украсть

16. Станислав (11.04.2012 / 21:22)
Lord (11 Апреля 2012 / 23:00)
Шо там ценное под паролем чтобы скачать?
я бы даже по-другому сказал:
что на этом обменнике ценного в принципе быть может? =)

17. ZaRiN (11.04.2012 / 21:30)
уязвимость это чистой воды)
через обменники часто сканы документов кидают кому-то другому и много чего еще, если бы инфа была не важная, то пароли на нее не ставили бы ;)

18. Антон (11.04.2012 / 21:50)
Еще бы знать точное название файла и уязве бы цены не было..

19. Илья (11.04.2012 / 21:53)
WmLiM (11 Апреля 2012 / 20:15)
Это уязвимость, не больше и не меньше. Скачивать файлы под паролем это интересненько, особенно учитывая поднимающуюся популярность этого обменника klass
+!

20. Николай (11.04.2012 / 21:54)
18. WmLiM, вот ты правильно подметил...

21. Николай (11.04.2012 / 22:05)
WmLiM (11 Апреля 2012 / 21:50)
Еще бы знать точное название файла и уязве бы цены не было..
каталог файлов открой -> берешь категорию которая нужна (архивы) -> например файл тест брутом подбираешь: test.rar , test.zip , test.7z
Как то так)
--------------
а в некоторых сразу пишут расширение :
NI Massive Part3.rar (11.8 Mb)

22. Александр (11.04.2012 / 22:08)
Раньше бы занялся этим вопросом, но т.к сейчас нет времени, было решено продать сайт, возможно новый владелец исправит...

23. Николай (11.04.2012 / 22:11)
22. Sahka52, да мне кажется новому админу ,,какать,, на все ) я тикет написал они прочитали и забили smile

24. Александр (11.04.2012 / 22:15)
Trance Mission (11 Апреля 2012 / 22:11)
22. Sahka52, да мне кажется новому админу ,,какать,, на все )
Ты не так меня понялsmile На данный момен админ этого проэкта мой соадмин, а т.к у нас нет времени на него, то решили продать, вот когда продадим тогда и напишите в поддержку об этом, а пока увыsad

25. Николай (11.04.2012 / 22:17)
Sahka52 (11 Апреля 2012 / 22:15)
Ты не так меня понялsmile На данный момен админ этого проэкта мой соадмин, а т.к у нас нет времени на него, то решили продать, вот когда продадим тогда и напишите в поддержку об этом, а пока увыsad
да?
как обьяснишь:

Здравствуйте друзья. Вчера вечером данный проект был продан.
Новый хозяин:
Ник в сети:
Noize_MC


26. Александр (11.04.2012 / 22:20)
Trance Mission (11 Апреля 2012 / 22:17)
да?
как обьяснишь:
Даня(Noize_MC) и есть мой соадмин, так понятней?smile

27. Николай (11.04.2012 / 22:21)
26. Sahka52, бред какой то smile да и ладно smile

28. Александр (11.04.2012 / 22:25)
Вот http://visavi.net/forum/topic.php?tid=31151 я тему о продаже создавал недавноsmile

29. Николай (11.04.2012 / 22:30)
Sahka52 (11 Апреля 2012 / 22:25)
Вот http://visavi.net/forum/topic.php?tid=31151 я тему о продаже создавал недавноsmile
smile прилично)

30. Руслан (11.04.2012 / 22:31)
А разве автор этого файлообменника не Plato ?

31. Александр (11.04.2012 / 22:44)
Masteram (11 Апреля 2012 / 22:31)
А разве автор этого файлообменника не Plato ?
Да он, но он его продал и если Вы не вкурсе закрыл проект MobileCMS

Добавлено через 02:12 сек.
Trance Mission (11 Апреля 2012 / 22:30)
smile прилично)
Он этого стоит, если попадет в хорошие руки, то станет лучшим обменом, т.к юпвап тупит страшно в последнее времяsmile

32. Руслан (11.04.2012 / 22:50)
31. Sahka52, Не знал)

33. Николай (11.04.2012 / 22:54)
31. Sahka52, ну не забывай я иду после вас) мой тоже обменик хорош)

34. ramzes (11.04.2012 / 22:57)
Sahka52 (11 Апреля 2012 / 22:44)
Он этого стоит, если попадет в хорошие руки, то станет лучшим обменом
для этого его весь переписать придется.
так что не станет

35. mozzzg (02.05.2012 / 11:45)
почему 5h5 не работает, кто в курсе?

36. JustZero (02.05.2012 / 11:50)
После того как Plato продал его, я оттуда ушел сразу. т.к. начались какие-то косяки на нем

37. Андрей (02.05.2012 / 11:50)
http://forum.wen.ru/?p=3&f=5&t=5281215&ssf=y&w=htm

В подарок к сайту, сервер(дедик), оплата закончится завтра.


38. Shurups (02.05.2012 / 11:52)
за неуплату сервера

39. ZaRiN (02.05.2012 / 11:59)
обменник вещь мало выгодная в вапе smile

40. Антон (02.05.2012 / 12:03)
39, ну почему? можно поставить так, если мобильный юзер агент, извлечь имя файла и переадресовать по пп ссылке+имя файла. *** помоему так делал

41. mozzzg (02.05.2012 / 12:07)
Блин, я 20 Гиг туда залил

42. Булат (02.05.2012 / 12:10)
старый добрый апвап куда лучшеsmile

43. ZaRiN (02.05.2012 / 12:13)
40. Borland.Delphi, потому что все равно не выгодно будет. А с такими переадресациями никто на обменник не будет ничего загружать

44. mozzzg (02.05.2012 / 12:14)
Keks (2 Мая 2012 / 12:10)
старый добрый апвап куда лучшеsmile
они тоже косячили, в один момент все старые файлы стали недоступны, и ограничение у них 30М

45. Булат (02.05.2012 / 12:22)
Капец Прокофьевич (2 Мая 2012 / 12:14)
они тоже косячили, в один момент все старые файлы стали недоступны, и ограничение у них 30М
ну сейчас то по моему стабильно работаютsmile

46. Андрей (02.05.2012 / 12:26)
Юзаю Google.Disk
Как-то удобней даже)

47. Алексей (02.05.2012 / 12:33)
46. KiPiSH, Google Drive не Яндекс.Диск

48. JustZero (02.05.2012 / 12:34)
тоже гугл драйвом пользуюсь. апнул за 3 бакса в месяц до 25 гиг и норм smile

49. Андрей (02.05.2012 / 12:40)
47: megabit, ну его называют Google Диск =)

Добавлено через 00:29 сек.
48: Доктор Зло, у меня ещё и Яндекс есть D Так что места навалом D

50. Arab (02.05.2012 / 13:37)
Когда кто-то кого-то кидает, об этом создают тему и кидалу куда- то в черный список записываютsmile Кидала потому что взял чужое не отдав за него должного ($). А тут делается все тоже самое только скрытно от владельца. Чем кидала хуже взломщика? smile

51. mozzzg (02.05.2012 / 13:41)
bolach (2 Мая 2012 / 13:37)
Когда кто-то кого-то кидает, об этом создают тему и кидалу куда- то в черный список записываютsmile Кидала потому что взял чужое не отдав за него должного ($). А тут делается все тоже самое только скрытно от владельца. Чем кидала хуже взломщика? smile
ты темой не ошибся?

Добавлено через 00:43 сек.
megabit (2 Мая 2012 / 12:33)
46. KiPiSH, Google Drive
как там директорию по умолчанию поменять, чтоб файлы не на диске С были...?

52. Arab (02.05.2012 / 13:43)
Trance Mission (11 Апреля 2012 / 21:04)
ну представь ты например хочешь купить скрипт/ну или другую ценну инфу(вдруг там пароли от чего нить), его загрузили на этот сайт тебе дали ссылку и сказали: ,,переводи деньги дам пароль,, , а ты хопа и перехватываешь этот файл
вроде как не ошибся

53. Виктор (02.05.2012 / 14:02)
Ну хз, upwap для меня норм, там такого не произойдёт)

54. Андрей (02.05.2012 / 14:04)
51: Капец Прокофьевич, там при установке же вроде выбирается директория, переустанови=)

55. mozzzg (02.05.2012 / 15:01)
KiPiSH (2 Мая 2012 / 14:04)
51: Капец Прокофьевич, там при установке же вроде выбирается директория, переустанови=)
ага)

56. Николай (03.05.2012 / 17:50)
bolach (2 Мая 2012 / 13:43)
вроде как не ошибся
нет ошибся. до конца надо сообщение дочитывать

Это говорит о том что не безопастно загружать файлы(как например пароли от чего либо,платные скрипты/дизайны и т.д.) на этот сайт. что их теперь могут украсть

Добавлено через 01:40 сек.
5h5 слег так что тему крою! если что ищите ее в архивах)
#closed

URL: https://visavi.net/topics/31201