[www/licencjat] zapraszam do testów, bezpieczeństwo aplikacji WWW ;) Opcje

[shpyo]

Deadline oddania mojego licencjatu jest za jakiś miesiąc. Kilka dni temu skończyłem robić część praktyczną.
Tematem mojej pracy jest: Stworzenie systemu informatycznego "Wirtualna Biblioteka".
Tematem przewodnim jest bezpieczeństwo. Byłbym wdzięczny gdybyście mogli sprawdzić podatność na ataki moją WB (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) . Oczywiście uważam, że wszystko jest zabezpieczone, jednak nie wykluczam że gdzieś coś mogłem przeoczyć.

link: http://shpyo.net/cms
login: admin
pass: haslo

Byłbym wdzięczny, gdyby nikt nie zmieniał tych danych, wtedy kolejne osoby niemogły zobaczyć wnętrza.
Za uwagi "thank you from mountian" (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

A ha. Odrazu mówię, że upload obrazków nie działa. Tzn. działa, ale są problemy techniczne z php, przy uploadzie ustawiania zły CHMOD, a gdy chcę zmienić go na 644 to zmienia na 211 :/. Sprawa zgłoszona do admina i jest w toku.

Ten post edytował shpyo 25.04.2007, 07:33:28

[Moli]

Jedyne co mi się nie podoba, to lista autorów (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Powinno być pole na wpisanie, bo po jakimś czasie będzie strasznie dużo autorów (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[yaro]

Ładnie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Troche z kodowaniem są problemy w kilku miejscach.
Fajnie było by gdyby dało się kliknąć na całe pole które się zaznacza jak się najedzie na książkę, a nie tylko na tekst czy obrazek
A po co używaż advAjaxa i Prototypa? Przecież w prototypie są funkcje do obsługi AJAX'a.
A co będzie jak będzie dużo działów? Bo na str głównej jest poziome menu. czy zmieszczą się wszystkie? Chyba że projekt nie ma tego uwzględniać co będzie w przyszłości.
Tak samo z kategoria>książka troszke duża ta czcionka przy długaśnym tytule może być nie ciekawie.

Ale ogólnie to mi się podoba.
Pracuj dalej (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[shpyo]

Dzięki za uwagi.
Gdybym chciał zrobić z tego porządny projekt to zabrakłoby mnie czasu. Promotor sam powiedział, że to tylko licencjat. Nie ma sensu robić wypasionej wersji, bo może być tak że w magisterce będę chciał to rozbudować. Jak teraz wszystko zrobię to nie będę miał czego robić w magisterce (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) .

Głównie skupiałem się na zabezpieczeniu tego - ze względu na tematykę seminarium. Nie miałem stricte określonych warunków co do funkcjonalności.

Z tymi autorami to rzeczywiście nie najlepsze wyjście (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) . Za mało czasu miałem, aby to jakoś sensownie zaprojektować (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ten post edytował shpyo 22.04.2007, 11:01:41

[vieri_pl]

shpyo (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

http://shpyo.net/cms/admin.php?goto=users%.../)%3C/script%3E

kliknij sobie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Fakt trzeba być zalogowanym (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

Ten post edytował vieri_pl 22.04.2007, 11:19:21

[shpyo]

shpyo (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

http://shpyo.net/cms/admin.php?goto=users%.../)%3C/script%3E

kliknij sobie (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Fakt trzeba być zalogowanym (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

<piwo>
Załatane (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Będę musiał poprawić to w innych miejscach i serwisach (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Taka ciekawostka: w wielu firmach/serwisach jeżeli znajdzie się taki błąd w "szczególnych okolicznościach" jest olewany (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował shpyo 22.04.2007, 11:33:52

[dr_bonzo]

* pozwala na dodanie kilku takich samych jezykow, nawet o roznych nazwach i takich samych skrotach; i nie waliduje formularzy (wyslalem pusty i dodalo)
* kategorie sksiazek: tak samo (pewnie inne obiekty tez)

OT:
*

Poniżej znajduje się struktura treści strony. Ikonki po prawej stronie oznaczają kolejno:
- edycja działu,
- przesuń w górę/gół dział,
- usuń dział.

A nie lepiej zrobic czytelne ikonki, ew. z podpisem?

* znikajace komunikaty: a jak nie zdaze ich przeczytac, albo zmienie w miedzyczasie strone i pozniej do niej powroce?

[bełdzio]

http://shpyo.net/cms/admin.php?goto=users&...er&id='
http://shpyo.net/cms/admin.php?goto=lang <- h1

Fatal error: Call to undefined function: pobierzid() in /home/platne/shpyo/public_html/cms/classes/users.php on line 59

jako edytor moge modyfikowac konta innych :|

kazik@kazik.pl -> Rejestracja powiodła się: Niepoprawny adres e-mail!

//@down: mam klona?

Ten post edytował bełdzio 29.04.2007, 17:22:20

[luki100011]

Jak sie zalogujesz to możesz usunąć wszystkich userow jednym linkiem:

http://shpyo.net/cms/admin.php?goto=users&...%20'%%'

Nie odporne na ataki SQL.

Hmmmm nie idzie sie zalogować.
Wiec idzie usuwać główne konto??
=============================
Idzie dodawać w zmiennych HTML i JAVE wejdź sobie w panelu admina w zakładkę JEZYK.
Filtrowanie zmiennych (IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif)
Logowanie na głównej stronie obojętne jak wpisze login dużymi czy małymi literami jest dla systemu (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Tak ma być (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ten post edytował luki100011 24.04.2007, 11:25:19

[maryaan]

Hmmmm nie idzie sie zalogować.

usuniecie wszystkich uzytkownikow z systemu przewaznie tak wyglada (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)

[shpyo]

To już wiem, kto jest odpowiedzialny za moją wpadkę na dzisiejszej prezentacji części praktycznej (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) . Przynajmniej promotor mógł zobaczyć czym może grozić złe zabezpieczenie aplikacji WWW (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[Zeman]

Ja nie bardzo moge sie zalogowac na admin i haslo

[kwiateusz]

bo jak wcześniej ktoś pokazał da sie wykonać sql injection i dzieki temu usunął wszystkich userów :] trzeba poczekać az shpyo utworzy takiego usera (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

edit: już poprawiłem ksywke nast. razem bede kopiował (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[shpyo]

Właśnie siedzę sobie na uczelni i łatam skrypt ^^,
Powoli wszystko wraca do normy - co najważniejsze, można się znowu logować na admina. Pozabezpieczałem formularze, waliduję je (chyba nawet wszystkie) jak również zmienne przesyłane GETem.
@kwiateusz: nie ma takiego użytkownika "sypho" (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Dzięki wszystkim za pomoc (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował shpyo 25.04.2007, 08:00:20

[athabus]

Menu na stronie głównej

* Bespieczeństwo WWW

(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[dr_bonzo]

shpyo: nastepnym razem nie dawaj tutaj tej samej instancji systemu, ktora masz prezentowac (wiesz czemu). To tez sa wzgledy bezpieczenstwa (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

PS

nie ma takiego użytkownika "sypho"

A ja zawsze przekrecalem na 'shypo' (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) (przynajmniej dalo sie wymowic)

[shpyo]

@athabus: widać jakiś "mundry" musiał poprawić "błąd" (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
@dr_bonzo: Raczej nie będę tutaj już prezentował paneli administracyjnych, prędzej jakieś ciekawe serwisy. (ad ps. nie wiem dlaczego, ale większość przekręca mojego nicka (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) )

[dr_bonzo]

co do nicka: jak sie szybko tylko na niego spojrzy to sie zle przeczyta, szczegolnie ze jest trudny do wymowienia/zapamietania

Raczej nie będę tutaj już prezentował paneli administracyjnych

1. Przeciez wystarczy zainstalowac system w dwoch miejscach/dwoch bazach i po klopocie
2. Zobacz kto ci bledy znalazl (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)