http://kode.md8.ru

Обсуждение в разделе «Проверка на уязвимости», начал(-а) AJIEKCEu, 22.10.2007.

?
  1. Да, очень хочу

    25,0%
  2. есть желание

    32,1%
  3. не знаю

    17,9%
  4. нет не хочу

    25,0%
  1. AJIEKCEu

    AJIEKCEu New Member

    Регистрация:
    19.02.2007
    Сообщения:
    10
    Одобрения:
    2
    Репутация:
    5
    Добрый день Уважаемые друзья!!!
    Прошу Вас пожалуйста проверьте мой сайт на уязвимость и ошибки (не грамматические):
    http://kode.md8.ru

    Я его специально создавал без графики, что бы пользователи без лишних затрат трафика могли читать мои статьи...

    В заранее всем благодарен!!! и конечно за найденные ошибки буду ставить +

    С Уважением Алексей.
     
    Это одобряет 1 пользователь.
  2. gibson

    gibson Elder - Старейшина

    Регистрация:
    24.02.2006
    Сообщения:
    463
    Одобрения:
    248
    Репутация:
    88
    В принцепе нормально, статей маловато, думаю исправишь(напишешь). Опрос мог бы добавить на сайте. Багов вроде нет, чуть больше исследую напишу
     
  3. AJIEKCEu

    AJIEKCEu New Member

    Регистрация:
    19.02.2007
    Сообщения:
    10
    Одобрения:
    2
    Репутация:
    5
    to gibson
    Угу я его недавно открыл, планирую форум сделать, но пока времени не хватает...
    к коду подходил ответственно, но мог что то упустить, малоли..
    По поводу содержания сайта и ближайшего развития - не хочу делать рекламу, ибо с моей стороны будет не културно:)
    Спасибо тебе большое, что посмотрел, с моей стороны +
    ___________

    Уважаемая администрация и модераторы!
    Скажите пожалуйса... могу ли я Вашу картинку (линк на форум Ваш, на моем сайте) перекрасить в синеватый цвет.. под интерфейс свой? либо дайте пожалуйста линк на картинку...
    Если из предлагаемых мной вареантов не подходит, оставлю как есть (но это не желательно, хотелось бы держать стиль цвета сайта.. а не делать его разноцветным)


    С Уважением Алексей!
     
    #3 AJIEKCEu, 22.10.2007
    В последний раз редактировалось: 22.10.2007
  4. v1ru$

    v1ru$ Elder - Старейшина

    Регистрация:
    17.03.2007
    Сообщения:
    303
    Одобрения:
    196
    Репутация:
    17
    xss
    Code:
    http://kode.md8.ru/statii.php?statii_show=4"><script>alert()</script>
    
     
    Это одобряет 1 пользователь.
  5. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Регистрация:
    19.03.2007
    Сообщения:
    619
    Одобрения:
    309
    Репутация:
    27
    Тоже самое http://kode.md8.ru/index.php?page=4"><script>alert('лажа')</script>
    http://kode.md8.ru/index.php?show_full=4"><script>alert('лажа')</script>
    короче профильтруй.
    насчет дизайна - Ассемблер - язык суровый, ну дизайн сайта про Асьму тоже должен быть таким :D.
     
    #5 AkyHa_MaTaTa, 22.10.2007
    В последний раз редактировалось: 22.10.2007
  6. zindi

    zindi Elder - Старейшина

    Регистрация:
    11.04.2007
    Сообщения:
    146
    Одобрения:
    17
    Репутация:
    0
    как на меня идея на 10.Вот дизайн и сам двиг не очень.
     
  7. AJIEKCEu

    AJIEKCEu New Member

    Регистрация:
    19.02.2007
    Сообщения:
    10
    Одобрения:
    2
    Репутация:
    5
    Уважаемый zindi ...
    По поводу дизайна: у меня не стояло сделать суперским с графикой и прочей амбулатурой, а первоочередной задачей было минимизировать затраты на трафик и публиковать статьи с проектами, если что то можете не рафическое посоветовать... посмотрю... у меня всеравно весь дизан в одном файле.. и в дальнейшем планировал сделать , что бы пользователи могли менять из предложенных... но это в дальнейшем...


    Благадарю: v1ru$ ; AkyHa_MaTaTa , Вам +.
    Честно признаюсь.. не знал я о возможности вызова такой ошибки...

    ______________________

    Кстати обнаружил у ся косяк в том, что можно было в окне новостей, статей - в теме бахать свой текст
    http://kode.md8.ru/statii.php?statii_show=4"фывафываф><script>alert()</script>
    $text="$text_имя/#$statii_show (<i.....
    Статьи/#4 ВОТ ТУТ БЫЛА НАДПИСЬ ( МК: Статья №2 Начинаем программировать AVR с нуля. Часть 1)

    Исправил данный косяк, а также поставил фильтр....
    Очень сильно при сильно благодарен ВАм!!!

    Но вот такая проблемма не могу ни как избавется от алерта:
    http://kode.md8.ru/statii.php?statii_show=4><script>alert()</script>

    вот фильтры какие ставил:
    $statii_show = str_replace("<script","",$statii_show);
    $statii_show = str_replace("\"","",$statii_show);
    $statii_show = str_replace("\'","",$statii_show);
    $statii_show = str_replace("<","",$statii_show);
    $statii_show = str_replace(">","",$statii_show);
    $statii_show = str_replace("#","",$statii_show);
    $statii_show = str_replace("/","",$statii_show);
    $statii_show = str_replace("script","",$statii_show);
    $statii_show = str_replace("(","",$statii_show);
    $statii_show = str_replace(")","",$statii_show);
    $statii_show = str_replace("%","",$statii_show);
    $statii_show = str_replace("alert","",$statii_show);
     
    Это одобряет 1 пользователь.
  8. AJIEKCEu

    AJIEKCEu New Member

    Регистрация:
    19.02.2007
    Сообщения:
    10
    Одобрения:
    2
    Репутация:
    5
    Все.. понял почему не получалось.. точнее получалось.. на локальном сервере (денвер)
    а на самом хостинге фильтр не работал...
    вот как правельно :
    $statii_show = str_replace("\<script>","",$statii_show);
    $statii_show=str_replace("<script","",$statii_show); // сами наверно поняля зачем))
    $statii_show=str_replace("\"","",$statii_show);// фильтруем кавычку
    $statii_show=str_replace("\'","",$statii_show);// фильтруем одинарную кавычку
    $statii_show=str_replace("\<","",$statii_show); // фильтруем < чтобы не смогли открыть тег
    $statii_show=str_replace("\>","",$statii_show);// фильтруем >чтобы не смогли закрыть тег
    $statii_show=str_replace("\#","",$statii_show); // Гадский символ
    $statii_show=str_replace("\/","",$statii_show);// слэш ))
    $statii_show=str_replace("\script","",$statii_show); // сами наверно поняля зачем))
    $statii_show=str_replace("\(","",$statii_show); // скобочки
    $statii_show=str_replace("\)","",$statii_show); // скобочки
    $statii_show=str_replace("\%","",$statii_show); // % используеться в url кодировки так что он тоже опасен
    $statii_show=str_replace("\alert","",$statii_show);
    $statii_show = str_replace("\\","",$statii_show);

    Это для тех у кого возникнит анологичная ситуация
     
  9. TANZWUT

    TANZWUT Крёстный отец :)

    Регистрация:
    22.06.2005
    Сообщения:
    1 462
    Одобрения:
    706
    Репутация:
    742
    улыбнуло:)
    нафиг тебе лишние килобайты кода?
    для фильтрации лучше используй http://php.ru/manual/function.htmlspecialchars.html

    З.Ы. главную читай %)
     
    _________________________
  10. AJIEKCEu

    AJIEKCEu New Member

    Регистрация:
    19.02.2007
    Сообщения:
    10
    Одобрения:
    2
    Репутация:
    5
    Tanzwut , мдаа.. серьезное дело)
    спасибо тебе...


    Tanzwut предположил что всетаки после всех фильтраций косяк идет от банера хостера...

    :(
     
  11. TANZWUT

    TANZWUT Крёстный отец :)

    Регистрация:
    22.06.2005
    Сообщения:
    1 462
    Одобрения:
    706
    Репутация:
    742
    /me реально держу сорцы сайта на руках (достал, не от ТС, нискажу как), ТС респект - сам пишет свой сайт и с нуля! проверил на localhost'е (стоит WAMP сервер (денвер - выкидывайте ф топку - это какойто эмулятор локалхоста, лучше полноценный веб-сервант юзать!)) вобщем ахтунгов не заметил, думаю чисто косяк хостера..
    з.ы. как я отредактировал новость и т.д. - ТС знает :)
     
    _________________________
    Это одобряют 4 пользоветелей.
  12. AJIEKCEu

    AJIEKCEu New Member

    Регистрация:
    19.02.2007
    Сообщения:
    10
    Одобрения:
    2
    Репутация:
    5
    tanzwut еще раз благодарю за проверку
    Угу... подтверждаю... серер хоста уязвим судя по всему...
    новость я всетаки немного доредактировал:).. ибо предерживаться здравых смыслов.


    / А если не секрет , что такое ТС?) т.е. как расшифровывается эта абривиатура?

    *топикстартер
     
    #12 AJIEKCEu, 24.10.2007
    В последний раз редактировалось модератором: 24.10.2007
  13. FoxMALDER

    FoxMALDER Elder - Старейшина

    Регистрация:
    26.07.2007
    Сообщения:
    46
    Одобрения:
    20
    Репутация:
    -1
    Блин извращенцы... Какие нафиг фильтры ставить от XSS, если у него входной параметр для statii_show и page - это цифра!? Зачем фильтр? Это только усложняет жизнь, тем более у новичков с регурярными выражениями проблемы...
    P.S.: Используйте intval, если входным значением является цифра.
     
Загрузка...
Similar Threads - http kode
  1. anlide
    Ответы:
    20
    Просмотры:
    16 622
  2. bulbazaur
    Ответы:
    27
    Просмотры:
    6 732