 Autorski CMS |
| Autorski CMS |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 77 Pomógł: 0 Dołączył: 4.02.2014 Ostrzeżenie: (20%) 
 |
Stworzyłem własny CMS, na frameworkach codeigniter i bootstrap.
link: http://s1060364-14898.home-whs.pl/modules_1/ Admin ze wszystkimi uprawnieniami email: jan@kowalski hasło: abcd Użytkownik z uprawnieniami do zwykłego zarządzania email: beata@beata.pl hasło: abcd Co sądzicie? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%) 
|
@Spawnm to że Get zamiast post to nic nie zmienia.
Może być GET o ile wew. jest wprowadzone zabezpieczenie przed takimi kwiatkami jak mówisz czyli musisz być Autoryzowany oraz być właścicielem obiektu. Jeśli to spełnisz to w 90% przypadków nic nie zdziałasz takimi linkami gdzieś tam. |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 520 Pomógł: 102 Dołączył: 15.07.2014 Skąd: NULL Ostrzeżenie: (0%)
|
Cytat(Pyton_000 @ 6.06.2015, 13:03:21 )  @Spawnm to że Get zamiast post to nic nie zmienia. Może być GET o ile wew. jest wprowadzone zabezpieczenie przed takimi kwiatkami jak mówisz czyli musisz być Autoryzowany oraz być właścicielem obiektu. Jeśli to spełnisz to w 90% przypadków nic nie zdziałasz takimi linkami gdzieś tam. Niby nic jednak zacytuje slowa z ksiazki Cytat Sposob uzycia GET w tym formularzu stanowi pogwalcenie ustepu 9.1.1 dokumentu RFC 2616, bedacego specyfikacja HTTP, w ktorym napisano „...zgodnie z ustaloną konwencją GET i HEAD NIE POWINNY umożliwiać wykonywania jakichkolwiek czynności innych niż pobieranie danych. Powinno być uważane za bezpieczne ”. Innymi słowy: Metoda GET nie powinna umozliwiac tworzenia, modyfikowania ani usuwania danych. (IMG:style_emoticons/default/tongue.gif) |
|
|
|
Omenomn Autorski CMS 5.06.2015, 17:17:16 
rad11 Na admina nie mozna sie zalogowac.
Albo robisz str... 5.06.2015, 17:35:35 Ksar http://s1060364-14898.home-whs.pl/modules_...onten... 5.06.2015, 17:54:43 rad11 Ksar to nic spojrz tutaj
http://forum.php.pl/inde... 5.06.2015, 18:05:19 
Ksar Cytat(rad11 @ 5.06.2015, 19:05:19 ) K... 5.06.2015, 18:20:37 Omenomn Ksar dziwne, że błąd wywaliło, wcześniej tego nie ... 5.06.2015, 18:52:18 gitbejbe Nie wiem jak inni ale ja gdy widze strone wlasnie ... 6.06.2015, 11:11:35 Spawnm Brak HttpOnly dla sesji, brak tokenów czy kasowani... 6.06.2015, 11:47:15 Spawnm @Pyton_000 takimi linkami można wyczyścić wszystki... 6.06.2015, 12:06:37 Omenomn CytatNie wiem jak inni ale ja gdy widze strone wla... 6.06.2015, 12:28:00 Pyton_000 To że nie powinny nie znaczy że nie mogą 6.06.2015, 19:01:22 Xelah @Pyton_000 Myślałęm, że tutaj się powinno pomagać ... 6.06.2015, 19:55:34 com Xelah Idac takim tokiem rozumowania to POST tak sa... 7.06.2015, 16:00:16 Spawnm @com rzeczywiście id często lecą getem, jednak z r... 7.06.2015, 16:12:12 kayman CytatMetoda GET nie powinna umożliwiać tworzenia, ... 7.06.2015, 16:14:21 Ksar Cytat(kayman @ 7.06.2015, 17:14:21 ) ... 7.06.2015, 16:21:31 com Spawnm owszem ale to u tych co maja jakieś pojecie... 7.06.2015, 16:28:30 Ksar Cytat(com @ 7.06.2015, 17:28:30 ) co ... 7.06.2015, 16:30:53 kayman Cytat(com @ 7.06.2015, 17:26:21 ) ale... 7.06.2015, 16:32:07 com pominę fakt, że parę lat temu widziałem przykłady ... 7.06.2015, 16:39:19 Ksar Cytat(com @ 7.06.2015, 17:39:19 ) Ksa... 7.06.2015, 16:55:48 com nie ma wcale różnic, różnica jest tylko w formie z... 7.06.2015, 17:15:10 Omenomn 1. Tokeny zrobione
2. Wymagane skomplikowane hasło... 7.06.2015, 18:28:40 Spawnm Cytatochrona przed brute force
Nadal jest podatnoś... 7.06.2015, 18:56:43 Omenomn to nie wiem jak wzmocnić ochronę przed brute force... 7.06.2015, 19:03:35 Spawnm Obrona przed brute force - np 3 nieudane logowania... 7.06.2015, 19:13:44 Xelah @com
Ależ ja nigdzie ni wspomniałem nawet o bezpie... 7.06.2015, 20:06:35 Omenomn CytatBłąd wywołałem przesyłając tablicę zamiast do... 7.06.2015, 20:51:50 Spawnm Wysłałem pole foo nie jako string ale jako tablice... 7.06.2015, 21:09:04 markonix Cytat(Spawnm @ 7.06.2015, 22:09:04 ) ... 7.06.2015, 22:56:50 aras785 Cytat(Spawnm @ 7.06.2015, 22:09:04 ) ... 16.06.2015, 23:03:56 Omenomn CytatWysłałem pole foo nie jako string ale jako ta... 7.06.2015, 22:10:49 com Xelah to zupełnie dwie odmienne rzeczy, ale biorąc... 7.06.2015, 22:37:05 Xelah Cytat(com @ 7.06.2015, 23:37:05 ) Xel... 8.06.2015, 11:10:22 Omenomn CytatCytat
Wysłałem pole foo nie jako string ale j... 7.06.2015, 23:02:32 Spawnm @Omenomn ty tak na serio?
Wystarczy wprowadzić p... 7.06.2015, 23:28:13 markonix Cytat(Spawnm @ 8.06.2015, 00:28:13 ) ... 8.06.2015, 10:47:08 Spawnm Cytat(markonix @ 8.06.2015, 11:47:08 ... 8.06.2015, 12:50:45 Turson Error occurred: 403 - forbidden 8.06.2015, 06:28:39 Omenomn Cytat@Omenomn ty tak na serio?
Wystarczy wprowad... 8.06.2015, 09:36:43 Pyton_000 Zawsze można rzutować zmienne np. (string) czy (in... 8.06.2015, 10:49:26 Omenomn Poprawiłem wszystkie pola o walidację stringa i do... 8.06.2015, 13:07:30 com CytatChodzi o przewidywalność. Bo jak robię OPTION... 8.06.2015, 18:30:31 webmaniak Kilka uwag:
-brak info o błędzie w przypadku wpisa... 17.06.2015, 08:07:29  |
|
Aktualny czas: 13.10.2025 - 05:35 |
