[www] Ocena własnej prostej strony, Samemu stworzonej Opcje

[materkamil]

Niestety ale ostatnio dobrze znana strona MaterDefense została zablokowana z powodu przeciążenia bazy. Dlatego stworzyłem swój własny skrypt i własną stronę. Wszystko 100% samemu (oprócz loga PHP oczywiście)

Oto adres:
http://webprotection.x10.mx/

Domena i adres jest tymczasowy, nie zwracajcie na to uwagę. Strona jest prosta, bo nie mam talentu graficznego, posiada panel administracyjny, korzysta z bazy danych. Jest parę opcji - dodawanie komentarzy, stronicowanie (gdy wpisów więcej niż 10, itp.

Jak oceniacie wygląd i schemat działania tego skryptu? Czy jest on bezpieczny. Na razie myślę że bez źródła się obejdzie (nie jest to żaden skrypt dobra publicznego ;P)

[greycoffey]

Już po wejściu na stronę widać piękny komunikat, świadczący o tym, że powinineś jeszcze popracować nad tym.

[materkamil]

ojej, tak zabezpieczałem przez SQL Injection że na śmierć zapomniałem o prostym XSS

Edit: htmlspecialchars teraz cię powita kolego/hakerze (nie wiem kto (IMG:style_emoticons/default/tongue.gif) )

Ten post edytował materkamil 26.07.2012, 11:10:42

[erix]

Widzę, że ktoś tu nie filtruje treści wprowadzanych przez użytkowników... (IMG:style_emoticons/default/tongue.gif)

XSS na pewno przechodzi.

[materkamil]

teraz już nie, w końcu jestem od bezpieczeństwa (IMG:style_emoticons/default/tongue.gif)

[erix]

A co tu oceniać...? Brutalne, ale to można zrobić dużo lepiej stawiając jakiegoś gotowego CMS-a...

Na Świecie jest tyle problemów do rozwiązania, a Ty robisz coś, co nawet przyjaznych URL-i nie używa...

[materkamil]

Przykładowo dzięki wam przypomniałem sobie o sprawdzaniu długości nicku (IMG:style_emoticons/default/smile.gif)
Można robić gotowcami, ale liczy się tylko PHP i notatnik

[Evinek]

http://webprotection.x10.mx/index.php?id=0
http://webprotection.x10.mx/index.php?id=-1

http://webprotection.x10.mx/index.php?page=0 - ładują się newsy - tak powinno być?

Tylko to znalazłem póki co.
Z wyglądu to podoba mi się tylko menu górne - reszta ble.

[erix]

Można robić gotowcami, ale liczy się tylko PHP i notatnik

Zależy, czy chcesz siedzieć ciągle przed komputerem, czy posiedzieć chwilę i mieć czas na coś innego. [;

Kiedyś była różnica, teraz rzadko kiedy.

Polecam lekturę przyklejonego wątku nt. bezpieczeństwa.

[materkamil]

Paradoksalnie jest to własnie strona poświęcona tematyce bezpieczeństwa. Nie mogę sobie wybaczyć tego XSSa (IMG:style_emoticons/default/sad.gif)
Jak mogłem tego nie zauważyć

[!*!]

Paradoksalnie jest to własnie strona poświęcona tematyce bezpieczeństwa. Nie mogę sobie wybaczyć tego XSSa (IMG:style_emoticons/default/sad.gif)
Jak mogłem tego nie zauważyć

Znowu śmiesz żartować? Strona leży. Nadal niczego się nie nauczyłeś.

[redeemer]

Brzydko panowie zrobiliście, że mu zapchaliście konto.

Do autora:
Fajnie, że się uczysz i widać jakiś postęp, ale nie uważasz, że mając dosyć małe pojęcie o bezpieczeństwie robienie strony poświęconej temu tematowi jest trochę, ekhm... nie na miejscu? To tak jakbym zrobił stronę o tym jak jeździć na koniach, a jedyną moją przygodą był przejazd na kucyku pod namiotem cyrkowym 20 lat temu.

[materkamil]

Hmm. Przychodzę a tam komunikat. Wydaje mi się że ktoś się zapingował i wyszedł z tego jeden wielki.. Denial of Service

[redeemer]

Zapingował? Musiałby tym pingiem cały lotus.x10hosting.com (tak, na tym serwerze stoi twój skrypt) uwalić, a komunikat i tak by się nie pojawił. Komunikat tyczył się za dużego wykorzystania zasobów serwera przez TWÓJ skrypt. Widocznie strona cieszyła się po prostu bardzo dużym zainteresowaniem (IMG:style_emoticons/default/smile.gif)

[materkamil]

Prawdopodobnie blokada jest z jednej przyczyny. Ktoś rozpracował mój system zabezpieczeń komentarzy przed spamem i niechcący się zablokowało. O tym więcej nie powiem... Poczekamy aż odblokują - godzinę

[erix]

niechcący się zablokowało

Niechcący? Braku zabezpieczeń nie nazwałbym "niechcący"...

O tym więcej nie powiem...

A jest o czym? (IMG:style_emoticons/default/tongue.gif)

Przeczytaj choć przyklejony wątek nt. bezpieczeństwa aplikacji.

[materkamil]

No dobra, już mówię. Z jednego IP nie wyślesz więcej niż 1 komentarza. No to ktoś zaczął kombinować z proxy, nabijał wejścia i zablokowało

[!*!]

Ktoś rozpracował mój system zabezpieczeń komentarzy przed spamem

Skoro to zrobił to znaczy że nie było żadnych zabezpieczeń.

No dobra, już mówię. Z jednego IP nie wyślesz więcej niż 1 komentarza. No to ktoś zaczął kombinować z proxy, nabijał wejścia i zablokowało

Jakby stworzyć listę bzdur jakie piszesz w kodzie, można by pokonać nonsensopedie.

A co z sieciami osiedlowymi, wifi? Mają te same IP czasami więcej niż 10 maszyn, a co dopiero 1.

[materkamil]

A co z sieciami osiedlowymi, wifi? Mają te same IP czasami więcej niż 10 maszyn, a co dopiero 1.

Jest na to sposób. Zwykle odpowiadam na każdy komentarz szybko więc jeśli ktoś chce coś napisać - napisze. Blokada polega na tym, że bez mojej odpowiedzi nie możesz napisać nic więcej z jednego IP. A jak już mówiłem - odpowiadam zawsze i szybko

[!*!]

Blokada polega na tym, że bez mojej odpowiedzi nie możesz napisać nic więcej z jednego IP. A jak już mówiłem - odpowiadam zawsze i szybko

To jak to możliwe że strona leży, skoro to TY musiałeś pierw odpowiedzieć. Zresztą, pomysł jak widać do obejścia i poroniony, bo niby dlaczego to TY masz odpowiedzieć, a nie Kowalski.

Ten post edytował !*! 26.07.2012, 14:57:31