Добрый день Уважаемые друзья!!! Прошу Вас пожалуйста проверьте мой сайт на уязвимость и ошибки (не грамматические): http://kode.md8.ru Я его специально создавал без графики, что бы пользователи без лишних затрат трафика могли читать мои статьи... В заранее всем благодарен!!! и конечно за найденные ошибки буду ставить + С Уважением Алексей.
В принцепе нормально, статей маловато, думаю исправишь(напишешь). Опрос мог бы добавить на сайте. Багов вроде нет, чуть больше исследую напишу
to gibson Угу я его недавно открыл, планирую форум сделать, но пока времени не хватает... к коду подходил ответственно, но мог что то упустить, малоли.. По поводу содержания сайта и ближайшего развития - не хочу делать рекламу, ибо с моей стороны будет не културно Спасибо тебе большое, что посмотрел, с моей стороны + ___________ Уважаемая администрация и модераторы! Скажите пожалуйса... могу ли я Вашу картинку (линк на форум Ваш, на моем сайте) перекрасить в синеватый цвет.. под интерфейс свой? либо дайте пожалуйста линк на картинку... Если из предлагаемых мной вареантов не подходит, оставлю как есть (но это не желательно, хотелось бы держать стиль цвета сайта.. а не делать его разноцветным) С Уважением Алексей!
Тоже самое http://kode.md8.ru/index.php?page=4"><script>alert('лажа')</script> http://kode.md8.ru/index.php?show_full=4"><script>alert('лажа')</script> короче профильтруй. насчет дизайна - Ассемблер - язык суровый, ну дизайн сайта про Асьму тоже должен быть таким .
Уважаемый zindi ... По поводу дизайна: у меня не стояло сделать суперским с графикой и прочей амбулатурой, а первоочередной задачей было минимизировать затраты на трафик и публиковать статьи с проектами, если что то можете не рафическое посоветовать... посмотрю... у меня всеравно весь дизан в одном файле.. и в дальнейшем планировал сделать , что бы пользователи могли менять из предложенных... но это в дальнейшем... Благадарю: v1ru$ ; AkyHa_MaTaTa , Вам +. Честно признаюсь.. не знал я о возможности вызова такой ошибки... ______________________ Кстати обнаружил у ся косяк в том, что можно было в окне новостей, статей - в теме бахать свой текст http://kode.md8.ru/statii.php?statii_show=4"фывафываф><script>alert()</script> $text="$text_имя/#$statii_show (<i..... Статьи/#4 ВОТ ТУТ БЫЛА НАДПИСЬ ( МК: Статья №2 Начинаем программировать AVR с нуля. Часть 1) Исправил данный косяк, а также поставил фильтр.... Очень сильно при сильно благодарен ВАм!!! Но вот такая проблемма не могу ни как избавется от алерта: http://kode.md8.ru/statii.php?statii_show=4><script>alert()</script> вот фильтры какие ставил: $statii_show = str_replace("<script","",$statii_show); $statii_show = str_replace("\"","",$statii_show); $statii_show = str_replace("\'","",$statii_show); $statii_show = str_replace("<","",$statii_show); $statii_show = str_replace(">","",$statii_show); $statii_show = str_replace("#","",$statii_show); $statii_show = str_replace("/","",$statii_show); $statii_show = str_replace("script","",$statii_show); $statii_show = str_replace("(","",$statii_show); $statii_show = str_replace(")","",$statii_show); $statii_show = str_replace("%","",$statii_show); $statii_show = str_replace("alert","",$statii_show);
Все.. понял почему не получалось.. точнее получалось.. на локальном сервере (денвер) а на самом хостинге фильтр не работал... вот как правельно : $statii_show = str_replace("\<script>","",$statii_show); $statii_show=str_replace("<script","",$statii_show); // сами наверно поняля зачем)) $statii_show=str_replace("\"","",$statii_show);// фильтруем кавычку $statii_show=str_replace("\'","",$statii_show);// фильтруем одинарную кавычку $statii_show=str_replace("\<","",$statii_show); // фильтруем < чтобы не смогли открыть тег $statii_show=str_replace("\>","",$statii_show);// фильтруем >чтобы не смогли закрыть тег $statii_show=str_replace("\#","",$statii_show); // Гадский символ $statii_show=str_replace("\/","",$statii_show);// слэш )) $statii_show=str_replace("\script","",$statii_show); // сами наверно поняля зачем)) $statii_show=str_replace("\(","",$statii_show); // скобочки $statii_show=str_replace("\)","",$statii_show); // скобочки $statii_show=str_replace("\%","",$statii_show); // % используеться в url кодировки так что он тоже опасен $statii_show=str_replace("\alert","",$statii_show); $statii_show = str_replace("\\","",$statii_show); Это для тех у кого возникнит анологичная ситуация
улыбнуло нафиг тебе лишние килобайты кода? для фильтрации лучше используй http://php.ru/manual/function.htmlspecialchars.html З.Ы. главную читай %)
Tanzwut , мдаа.. серьезное дело) спасибо тебе... Tanzwut предположил что всетаки после всех фильтраций косяк идет от банера хостера...
/me реально держу сорцы сайта на руках (достал, не от ТС, нискажу как), ТС респект - сам пишет свой сайт и с нуля! проверил на localhost'е (стоит WAMP сервер (денвер - выкидывайте ф топку - это какойто эмулятор локалхоста, лучше полноценный веб-сервант юзать!)) вобщем ахтунгов не заметил, думаю чисто косяк хостера.. з.ы. как я отредактировал новость и т.д. - ТС знает
tanzwut еще раз благодарю за проверку Угу... подтверждаю... серер хоста уязвим судя по всему... новость я всетаки немного доредактировал.. ибо предерживаться здравых смыслов. / А если не секрет , что такое ТС?) т.е. как расшифровывается эта абривиатура? *топикстартер
Блин извращенцы... Какие нафиг фильтры ставить от XSS, если у него входной параметр для statii_show и page - это цифра!? Зачем фильтр? Это только усложняет жизнь, тем более у новичков с регурярными выражениями проблемы... P.S.: Используйте intval, если входным значением является цифра.
