Pokaż wyniki 1 do 10 z 17

Temat: [PHP] Bezpieczeństwo engine'u blogowego

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie [PHP] Bezpieczeństwo engine'u blogowego

    Witam
    Skrobnąłem prosty engine blogowy, inspirowany textlog.org, znajdziecie go
    tutaj
    Mam do was prośbę, zapewne część z was jest w tym bardziej oblatana ode mnie. Czy ktoś mógłby przejrzeć kod i wyłowić jakieś luki? Czy jest coś co pominąłem?

    Od razu mówię że luka XSS w dodawaniu postów to nie bug tylko feature : ) Przynajmniej dopóki nie zaimplementuję BBcode albo czegoś takiego.

    Z góry dziękuję za pomoc




    //na przyszlosc uzywaj roznych hasel ;)
    Ostatnio edytowane przez Isadil : 08-18-2008 - 11:04

  2. Domyślnie

    Jak na razie masz 500 - chyba się .htaccess bawisz ;-)

  3. #3
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    jak ja kocham takie serwerki na linuxie...
    szkoda ze juz pass to ssh zmieniony

  4. #4

    Domyślnie

    Cóż, serwer nie mój tylko wypożyczony ; )

    Widzę że coś się jednak znalazło. Ale po stronie engine'u czy serwera?

    EDIT, ech, jaki ktoś (h3x niejaki) dowcipny (klik). Niesamowicie. Widać szukałem pomocy na złym forum. Myślałem że trafię na poważnych ludzi, a /*wyciąłem ten fragment wypowiedzi aby nie robić burdelu na forum*/. No ale cóż, shit happens.
    Ostatnio edytowane przez Isadil : 08-18-2008 - 13:58

  5. #5
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    h3x == ja

    blad jest w przekazywaniu zmiennej z geta.

    zamiast $_GET['id'] zrob (int)$_GET['id']

    luka bedzie zalatana, a jak nauczysz sie lepiej php to dojdziesz do wniosku ze caly skrypt jest zle naspisany.

    Ale po stronie engine'u czy serwera?
    po twojej stronie, ze do forum miales takie samo haslo, co dalo mi pelny dostep do serwera.

    Widać szukałem pomocy na złym forum.
    Co ma 1 osoba do calego forum?
    Ahh, rozumiem. Wolalbys cichego backdoora, lub brak zainteresowania tematem.
    Ja uwazam ze wlasnie dobrze trafiles, gdzie indziej moglby przybyc 1 czy 2 pliki


    ...i lepiej zmien hasla do maila i innych stronek, bo jutro moge miec zly dzien
    Ostatnio edytowane przez rip : 08-18-2008 - 14:17

  6. #6

    Domyślnie

    rip - wolałbym kultralne hacked.txt w katalogu + jakiś post jako admin jeśli tak bardzo chcesz sławy : )
    A 'owned' całego linux-world to moim zdaniem trochę niepoważne. Ale nie ja jestem autorytetem żeby to oceniać i dywagować.

    Zatem rzutujemy na int... możesz napisać czemu akurat tak i z jakim konkretnie zagrożeniem to się wiąże? Może być pw/mail.

    Edit - do maila już zmieniłem, reszta się robi. Tak czy siak dzięki za ostrzeżenie.

Podobne wątki

  1. Bezpieczeństwo serwerów...
    By lukasz6547 in forum Security
    Odpowiedzi: 12
    Autor: 06-17-2008, 21:13
  2. [php]humory przegladarki? php? systemu?
    By gogulas in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 1
    Autor: 03-27-2008, 08:46
  3. mail bezpieczeństwo
    By nnee in forum Security
    Odpowiedzi: 19
    Autor: 01-27-2008, 15:45
  4. wlan - bezpieczeństwo
    By goffer in forum Newbie - dla początkujących!
    Odpowiedzi: 3
    Autor: 01-07-2008, 00:41
  5. Bezpieczeństwo PKO BP
    By ble34 in forum Off Topic
    Odpowiedzi: 3
    Autor: 12-18-2007, 12:30

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj