[PHP] Bezpieczeństwo engine'u blogowego
Witam
Skrobnąłem prosty engine blogowy, inspirowany textlog.org, znajdziecie go
tutaj
Mam do was prośbę, zapewne część z was jest w tym bardziej oblatana ode mnie. Czy ktoś mógłby przejrzeć kod i wyłowić jakieś luki? Czy jest coś co pominąłem?
Od razu mówię że luka XSS w dodawaniu postów to nie bug tylko feature : ) Przynajmniej dopóki nie zaimplementuję BBcode albo czegoś takiego.
Z góry dziękuję za pomoc
//na przyszlosc uzywaj roznych hasel ;)
Ostatnio edytowane przez Isadil : 08-18-2008 - 11:04
Jak na razie masz 500 - chyba się .htaccess bawisz ;-)
Banned
jak ja kocham takie serwerki na linuxie...
szkoda ze juz pass to ssh zmieniony
Cóż, serwer nie mój tylko wypożyczony ; )
Widzę że coś się jednak znalazło. Ale po stronie engine'u czy serwera?
EDIT, ech, jaki ktoś (h3x niejaki) dowcipny (klik). Niesamowicie. Widać szukałem pomocy na złym forum. Myślałem że trafię na poważnych ludzi, a /*wyciąłem ten fragment wypowiedzi aby nie robić burdelu na forum*/. No ale cóż, shit happens.
Ostatnio edytowane przez Isadil : 08-18-2008 - 13:58
Banned
h3x == ja
blad jest w przekazywaniu zmiennej z geta.
zamiast $_GET['id'] zrob (int)$_GET['id']
luka bedzie zalatana, a jak nauczysz sie lepiej php to dojdziesz do wniosku ze caly skrypt jest zle naspisany.
po twojej stronie, ze do forum miales takie samo haslo, co dalo mi pelny dostep do serwera.Ale po stronie engine'u czy serwera?
Co ma 1 osoba do calego forum?Widać szukałem pomocy na złym forum.
Ahh, rozumiem. Wolalbys cichego backdoora, lub brak zainteresowania tematem.
Ja uwazam ze wlasnie dobrze trafiles, gdzie indziej moglby przybyc 1 czy 2 pliki
...i lepiej zmien hasla do maila i innych stronek, bo jutro moge miec zly dzien
Ostatnio edytowane przez rip : 08-18-2008 - 14:17
rip - wolałbym kultralne hacked.txt w katalogu + jakiś post jako admin jeśli tak bardzo chcesz sławy : )
A 'owned' całego linux-world to moim zdaniem trochę niepoważne. Ale nie ja jestem autorytetem żeby to oceniać i dywagować.
Zatem rzutujemy na int... możesz napisać czemu akurat tak i z jakim konkretnie zagrożeniem to się wiąże? Może być pw/mail.
Edit - do maila już zmieniłem, reszta się robi. Tak czy siak dzięki za ostrzeżenie.
Zasady Postowania
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.
