Lightning - когда же наконец-то удалят?

А в следующий раз про четвертый способ расскажу, если он ещё будет висеть на форуме.

Автор сразу сделал обработку кавычек на своём сервере. Банить его нужно за эксплойты в любой момент.

Автор лайтінінша має вам добряче проставитись, за теке тестування)

смущает количество ру сайтов в выборке

23.01.2025 в 10:56, spectre сказал:

смущает количество ру сайтов в выборке

Это как попалось при парсинге 155000 сайтов, дальше мне было лень собирать базу.

Специально ничего не писал сразу, хотел глянуть на реакцию публики и администрации.

Человек выискал уязвимость, не известил автора, написал под нее експлоит и опубликовал вместе со списком потенциальных жертв.

Если уж это не основание для бана, то я уже не знаю )))

Теперь по сути "уязвимости". Подобрать ключ в реальных условиях невозможно. 

buslikdrev, сколько времени по приблизительным подсчетам займет перебор 2 миллиардов вариантов ключа твоим методом?

Да, я не заметил, что ссылка на политику не экранируется, что теоретически дает мне возможность вживить сторонний JavaScript на сайт клиента.

Естественно, мне нет резона заниматься такими грязными вещами.

Все это исправлено в обновлении 4.45.

Неоднократно коммуницируя с @MaxD по вопросам поддержки у меня не закрадывается и доли сомнения, что он НЕ будет ломать сайты своим клиентам и это тот человек, которому можно доверять.

Ломать возможно сайт и без лайтинга, гораздо проще чем описано выше. и что?

Администрации как минимум следует озаботиться об удалении из списка всех не русских и не рб сайтов. @Moderator

1. Когда-то, вместо такой завуалированной "защиты" маэстро вставлял просто js файл со своего сервера. И так же на голубом глазу как одна моль, рассказывал басни, ачетакова.

2. Позже была история, когда мрак делал тоже самое и долго и упорно озвучивал сказки, про каких-то экспертов по безопасности, которые сказали что так можно. Экспертов не увидели. Дыру увидели. Он её таки прикрыл.

3. Допустим, если правда не специально. И тут все дураки собрались, если человек допускает такие школьные ошибки, прежде чем создавать модули и продавать их, пойти поучить пхп?

Вопрос риторический.

24.01.2025 в 14:39, MaxD сказал:

Специально ничего не писал сразу, хотел глянуть на реакцию публики и администрации.

Человек выискал уязвимость, не известил автора, написал под нее експлоит и опубликовал вместе со списком потенциальных жертв.

Если уж это не основание для бана, то я уже не знаю )))

 

Теперь по сути "уязвимости". Подобрать ключ в реальных условиях невозможно. 

buslikdrev, сколько времени по приблизительным подсчетам займет перебор 2 миллиардов вариантов ключа твоим методом?

 

Да, я не заметил, что ссылка на политику не экранируется, что теоретически дает мне возможность вживить сторонний JavaScript на сайт клиента.

Естественно, мне нет резона заниматься такими грязными вещами.

 

Все это исправлено в обновлении 4.45.

Ну камон бро тебе сделали тест, ты не доволен, зачем писать так? Я не Ваш клиент и не друган, человека который выявил - реально дичь!

Тыб отблагодарил товарища , пропросил выявить еще уязвимость и попросил совета… но бли ты просишь. Его банить! За что за твой код?

25.01.2025 в 00:05, COBECTb11 сказал:

За что за твой код?

Он специально их делает, поэтому и обижается, что вынуждают прикрывать.

25.01.2025 в 03:07, buslikdrev сказал:

Он специально их делает, поэтому и обижается, что вынуждают прикрывать.

Специально для чего?

Я вижу, ты не хочешь считать время, потому что тогда вся схема развалится. Я посчитаю вместо тебя )))

Один скрипт будет делать около 20 запросов в секунду. 10 компов - 200 запросов в секунду.

Делим 2 миллиарда на 200 = 10 миллионов секунд, это 115 дней, более 3 месяцев.

Но в реальности долбежка 200 запросов в секунду очень заметна, и лавочку прикроют за сутки-двое.

25.01.2025 в 11:42, MaxD сказал:

Специально для чего?

 

Я вижу, ты не хочешь считать время, потому что тогда вся схема развалится. Я посчитаю вместо тебя )))

 

Один скрипт будет делать около 20 запросов в секунду. 10 компов - 200 запросов в секунду.

Делим 2 миллиарда на 200 = 10 миллионов секунд, это 115 дней, более 3 месяцев.

 

Но в реальности долбежка 200 запросов в секунду очень заметна, и лавочку прикроют за сутки-двое.

Когешно не мое дело, но вым бы сконтактировать с бусликом, денежкой может поделиться, чтобы как то вам помог идеями, тк это действительно стремное дело(

25.01.2025 в 22:19, COBECTb11 сказал:

стремное дело(

Как по мне - то стремное дело это то что буслик продает русским свой кешер и таким способом его продвигает уже довольно давно

но если человек гнида и мудак то это уже неважно

При обнаружении уязвимости нужно писать автору, а то глядишь и тебе когда-то присунут

Норм срач