Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> strona w symfony frameworku, prosze o wskazanie luk bezpieczenstwa
kubek2
post
Post #1





Grupa: Zarejestrowani
Postów: 3
Pomógł: 0
Dołączył: 12.05.2009

Ostrzeżenie: (0%)
-----

Będąc użytkownikiem tego forum chciałbym incognito zaprezentować stronę. Uczę się Symfony frameworka - chciałbym prosić o ocenę strony zrobionej w tym frameworku - stronę tę zrobiłem tylko po to by nauczyć się podstaw Symfony i niczemu więcej ona nie służy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) .
http://www.misiekmisiek.info/

Przykładowy użytkownik:
login: misiek
hasło: haslo1

Wszyscy inni użytkownicy mają login taki jak ich wyświetlana nazwa użytkownika oraz hasło: 'haslo1'. WYŁĄCZYŁEM możliwość zmiany hasła z wiadomych powodów. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Zależy mi zwłaszcza na ocenie BEZPIECZEŃSTWA, więc opisze w skrócie o czym pomyślałem:
* Niebezpieczne akcje typu dodanie użytkownika do znajomych lub usunięcie nie powiodą się jesli ręcznie wpisze się dany adres w pasku url przegladarki lub jakimś sposobem zaszyje się kod dodający/usuwający użytkownika ze znajomych na stronie, na którą potem wejdzie druga osoba,
* Jeśli ktoś chce spróbować zmodyfikować wartość ukrytego pola to np. na stronie 'wyslij_wiadomosc' jest ukryte pole o nazwie 'adresat' zawierajace id, ale to się nie uda,
* Jesli ktoś chce wpisać np. kod javascript z 'alert' itp. to może to zrobić na stronie 'opis', ale to nic nie da, bo nie zostanie to wyświetlone,
* Na stronie z rejestracją jest walidacja javascript, wyłączenie javascript nic nie da,
* itd.

Byłbym wdzieczny za wskazanie niebezpieczeństw, o których jeszcze nie pomyślałem.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 4)
phpion
post
Post #2





Grupa: Moderatorzy
Postów: 6 072
Pomógł: 861
Dołączył: 10.12.2003
Skąd: Dąbrowa Górnicza
F5 po wysłaniu formularza kontaktowego i masz zaspamowaną skrzynkę pocztową (bo po komunikacie domyślam się, że mail za każdym razem leci).
Go to the top of the page
+Quote Post
kubek2
post
Post #3





Grupa: Zarejestrowani
Postów: 3
Pomógł: 0
Dołączył: 12.05.2009

Ostrzeżenie: (0%)
-----

dzięki phpion, jak zawsze można na Ciebie liczyć - już to poprawiłem. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Tak w ogóle to niezwykle fajny ten Symfony Framework. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
Poker
post
Post #4





Grupa: Zarejestrowani
Postów: 205
Pomógł: 3
Dołączył: 20.04.2009
Skąd: Jaworzno

Ostrzeżenie: (0%)
-----

W karierze powinna być chyba Moja historia kariery? Wstawiam nowy wpis i pojawia się on u każdego użytkownika w edycji ... Lecz nie wyświetla się on na profilu
Go to the top of the page
+Quote Post
kubek2
post
Post #5





Grupa: Zarejestrowani
Postów: 3
Pomógł: 0
Dołączył: 12.05.2009

Ostrzeżenie: (0%)
-----

Dzięki - w zapytaniu nie dodałem WHERE i wyświetlało historię kariery wszystkich ;]
Go to the top of the page
+Quote Post
« Następny starszy · Oceny · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 25.08.2025 - 04:08
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn