22.10.2007, 13:42
|
|
Новичок
Регистрация: 19.02.2007
Сообщений: 10
Провел на форуме:
22082
Репутация:
10
|
|
http://kode.md8.ru
Добрый день Уважаемые друзья!!!
Прошу Вас пожалуйста проверьте мой сайт на уязвимость и ошибки (не грамматические):
http://kode.md8.ru
Я его специально создавал без графики, что бы пользователи без лишних затрат трафика могли читать мои статьи...
В заранее всем благодарен!!! и конечно за найденные ошибки буду ставить +
С Уважением Алексей.
|
|
|
22.10.2007, 15:06
|
|
Moderator - Level 7
Регистрация: 24.02.2006
Сообщений: 447
Провел на форуме:
2872049
Репутация:
705
|
|
В принцепе нормально, статей маловато, думаю исправишь(напишешь). Опрос мог бы добавить на сайте. Багов вроде нет, чуть больше исследую напишу
|
|
|
|
22.10.2007, 15:14
|
|
Новичок
Регистрация: 19.02.2007
Сообщений: 10
Провел на форуме:
22082
Репутация:
10
|
|
to gibson
Угу я его недавно открыл, планирую форум сделать, но пока времени не хватает...
к коду подходил ответственно, но мог что то упустить, малоли..
По поводу содержания сайта и ближайшего развития - не хочу делать рекламу, ибо с моей стороны будет не културно 
Спасибо тебе большое, что посмотрел, с моей стороны +
___________
Уважаемая администрация и модераторы!
Скажите пожалуйса... могу ли я Вашу картинку (линк на форум Ваш, на моем сайте) перекрасить в синеватый цвет.. под интерфейс свой? либо дайте пожалуйста линк на картинку...
Если из предлагаемых мной вареантов не подходит, оставлю как есть (но это не желательно, хотелось бы держать стиль цвета сайта.. а не делать его разноцветным)
С Уважением Алексей!
Последний раз редактировалось AJIEKCEu; 22.10.2007 в 15:18..
|
|
|
|
22.10.2007, 15:31
|
|
Постоянный
Регистрация: 17.03.2007
Сообщений: 336
Провел на форуме:
3766085
Репутация:
576
|
|
xss
Код:
http://kode.md8.ru/statii.php?statii_show=4"><script>alert()</script>
|
|
|
|
22.10.2007, 18:24
|
|
Постоянный
Регистрация: 19.03.2007
Сообщений: 684
Провел на форуме:
3152874
Репутация:
1020
|
|
Тоже самое http://kode.md8.ru/index.php?page=4"><script>alert('лажа')</script>
http://kode.md8.ru/index.php?show_full=4"><script>alert('лажа')</script>
короче профильтруй.
насчет дизайна - Ассемблер - язык суровый, ну дизайн сайта про Асьму тоже должен быть таким  .
Последний раз редактировалось AkyHa_MaTaTa; 22.10.2007 в 18:30..
|
|
|
|
22.10.2007, 19:37
|
|
Участник форума
Регистрация: 11.04.2007
Сообщений: 219
Провел на форуме:
982101
Репутация:
13
|
|
как на меня идея на 10.Вот дизайн и сам двиг не очень.
|
|
|
|
23.10.2007, 08:59
|
|
Новичок
Регистрация: 19.02.2007
Сообщений: 10
Провел на форуме:
22082
Репутация:
10
|
|
Уважаемый zindi ...
По поводу дизайна: у меня не стояло сделать суперским с графикой и прочей амбулатурой, а первоочередной задачей было минимизировать затраты на трафик и публиковать статьи с проектами, если что то можете не рафическое посоветовать... посмотрю... у меня всеравно весь дизан в одном файле.. и в дальнейшем планировал сделать , что бы пользователи могли менять из предложенных... но это в дальнейшем...
Благадарю: v1ru$ ; AkyHa_MaTaTa , Вам +.
Честно признаюсь.. не знал я о возможности вызова такой ошибки...
______________________
Кстати обнаружил у ся косяк в том, что можно было в окне новостей, статей - в теме бахать свой текст
http://kode.md8.ru/statii.php?statii_show=4"фывафываф><scrip t>alert()</script>
$text="$text_имя/#$statii_show (<i.....
Статьи/#4 ВОТ ТУТ БЫЛА НАДПИСЬ ( МК: Статья №2 Начинаем программировать AVR с нуля. Часть 1)
Исправил данный косяк, а также поставил фильтр....
Очень сильно при сильно благодарен ВАм!!!
Но вот такая проблемма не могу ни как избавется от алерта:
http://kode.md8.ru/statii.php?statii_show=4><script>alert()</script>
вот фильтры какие ставил:
$statii_show = str_replace("<script","",$statii_show);
$statii_show = str_replace("\"","",$statii_show);
$statii_show = str_replace("\'","",$statii_show);
$statii_show = str_replace("<","",$statii_show);
$statii_show = str_replace(">","",$statii_show);
$statii_show = str_replace("#","",$statii_show);
$statii_show = str_replace("/","",$statii_show);
$statii_show = str_replace("script","",$statii_show);
$statii_show = str_replace("(","",$statii_show);
$statii_show = str_replace(")","",$statii_show);
$statii_show = str_replace("%","",$statii_show);
$statii_show = str_replace("alert","",$statii_show);
|
|
|
|
23.10.2007, 09:46
|
|
Новичок
Регистрация: 19.02.2007
Сообщений: 10
Провел на форуме:
22082
Репутация:
10
|
|
Все.. понял почему не получалось.. точнее получалось.. на локальном сервере (денвер)
а на самом хостинге фильтр не работал...
вот как правельно :
$statii_show = str_replace("\<script>","",$statii_show);
$statii_show=str_replace("<script","",$statii_show ); // сами наверно поняля зачем))
$statii_show=str_replace("\"","",$statii_show);// фильтруем кавычку
$statii_show=str_replace("\'","",$statii_show);// фильтруем одинарную кавычку
$statii_show=str_replace("\<","",$statii_show); // фильтруем < чтобы не смогли открыть тег
$statii_show=str_replace("\>","",$statii_show);// фильтруем >чтобы не смогли закрыть тег
$statii_show=str_replace("\#","",$statii_show); // Гадский символ
$statii_show=str_replace("\/","",$statii_show);// слэш ))
$statii_show=str_replace("\script","",$statii_show ); // сами наверно поняля зачем))
$statii_show=str_replace("\(","",$statii_show); // скобочки
$statii_show=str_replace("\)","",$statii_show); // скобочки
$statii_show=str_replace("\%","",$statii_show); // % используеться в url кодировки так что он тоже опасен
$statii_show=str_replace("\alert","",$statii_show) ;
$statii_show = str_replace("\\","",$statii_show);
Это для тех у кого возникнит анологичная ситуация
|
|
|
|
23.10.2007, 10:40
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
Провел на форуме:
5302668
Репутация:
2054
|
|
улыбнуло
нафиг тебе лишние килобайты кода?
для фильтрации лучше используй http://php.ru/manual/function.htmlspecialchars.html
З.Ы. главную читай %)
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
23.10.2007, 13:20
|
|
Новичок
Регистрация: 19.02.2007
Сообщений: 10
Провел на форуме:
22082
Репутация:
10
|
|
Tanzwut , мдаа.. серьезное дело)
спасибо тебе...
Tanzwut предположил что всетаки после всех фильтраций косяк идет от банера хостера...
 |
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид