Autorski CMS - Forum PHP.pl

Autorski CMS

Omenomn Zobacz profil	5.06.2015, 17:17:16 Post #1
Grupa: Zarejestrowani Postów: 77 Pomógł: 0 Dołączył: 4.02.2014 Ostrzeżenie: (20%)	Stworzyłem własny CMS, na frameworkach codeigniter i bootstrap. link: http://s1060364-14898.home-whs.pl/modules_1/ Admin ze wszystkimi uprawnieniami email: jan@kowalski hasło: abcd Użytkownik z uprawnieniami do zwykłego zarządzania email: beata@beata.pl hasło: abcd Co sądzicie?

Odpowiedzi

com Zobacz profil	8.06.2015, 18:30:31 Post #2
Grupa: Zarejestrowani Postów: 3 034 Pomógł: 366 Dołączył: 24.05.2012 Ostrzeżenie: (0%)	Cytat Chodzi o przewidywalność. Bo jak robię OPTIONS to nie spodziewam się w odpowiedzi usuniętego posta... I na tym można właśnie polegnąć, jak chociażby świetnym przykładem jest to co się tu pojawiło, oczekujemy stringa a user daje nam tablice. Dlatego założenie, że user zrobi wszytko według specyfikacji wcale nie zwalnia nas z kontroli tego co się tam jednak dzieje, bo jak coś się posypie to nie powiesz ale przecież w RFC napisali że tak nie wolno. Dlatego to ma silny związek z bezpieczeństwem, bo Ty swoje a user jak będzie chciał kombinować to itak będzie to robił i a nóż coś się nam da. Bo nawet GET będący niby tylko do odczytu potrafi wiele zepsuć jak się go nie odfiltruje i wykorzysta się go gdzieś potem w naszej aplikacji, albo fragment w url, on wgl nie trafia na serwer wiec nie da się z jego poziomu go kontrolować, a stron na nich opartych jest coraz więcej. Nawet Adobe przez to zarobiło sporą wtopę jakiś czas temu.

Posty w temacie

Omenomn Autorski CMS 5.06.2015, 17:17:16

rad11 Na admina nie mozna sie zalogowac. Albo robisz str... 5.06.2015, 17:35:35

Ksar http://s1060364-14898.home-whs.pl/modules_...onten... 5.06.2015, 17:54:43

rad11 Ksar to nic spojrz tutaj http://forum.php.pl/inde... 5.06.2015, 18:05:19

Ksar Cytat(rad11 @ 5.06.2015, 19:05:19 ) K... 5.06.2015, 18:20:37

Omenomn Ksar dziwne, że błąd wywaliło, wcześniej tego nie ... 5.06.2015, 18:52:18

gitbejbe Nie wiem jak inni ale ja gdy widze strone wlasnie ... 6.06.2015, 11:11:35

Spawnm Brak HttpOnly dla sesji, brak tokenów czy kasowani... 6.06.2015, 11:47:15

Pyton_000 @Spawnm to że Get zamiast post to nic nie zmienia.... 6.06.2015, 12:03:21

Ksar Cytat(Pyton_000 @ 6.06.2015, 13:03:21... 6.06.2015, 16:53:35

Spawnm @Pyton_000 takimi linkami można wyczyścić wszystki... 6.06.2015, 12:06:37

Omenomn CytatNie wiem jak inni ale ja gdy widze strone wla... 6.06.2015, 12:28:00

Pyton_000 To że nie powinny nie znaczy że nie mogą 6.06.2015, 19:01:22

Xelah @Pyton_000 Myślałęm, że tutaj się powinno pomagać ... 6.06.2015, 19:55:34

com Xelah Idac takim tokiem rozumowania to POST tak sa... 7.06.2015, 16:00:16

Spawnm @com rzeczywiście id często lecą getem, jednak z r... 7.06.2015, 16:12:12

kayman CytatMetoda GET nie powinna umożliwiać tworzenia, ... 7.06.2015, 16:14:21

Ksar Cytat(kayman @ 7.06.2015, 17:14:21 ) ... 7.06.2015, 16:21:31

com Spawnm owszem ale to u tych co maja jakieś pojecie... 7.06.2015, 16:28:30

Ksar Cytat(com @ 7.06.2015, 17:28:30 ) co ... 7.06.2015, 16:30:53

kayman Cytat(com @ 7.06.2015, 17:26:21 ) ale... 7.06.2015, 16:32:07

com pominę fakt, że parę lat temu widziałem przykłady ... 7.06.2015, 16:39:19

Ksar Cytat(com @ 7.06.2015, 17:39:19 ) Ksa... 7.06.2015, 16:55:48

com nie ma wcale różnic, różnica jest tylko w formie z... 7.06.2015, 17:15:10

Omenomn 1. Tokeny zrobione 2. Wymagane skomplikowane hasło... 7.06.2015, 18:28:40

Spawnm Cytatochrona przed brute force Nadal jest podatnoś... 7.06.2015, 18:56:43

Omenomn to nie wiem jak wzmocnić ochronę przed brute force... 7.06.2015, 19:03:35

Spawnm Obrona przed brute force - np 3 nieudane logowania... 7.06.2015, 19:13:44

Xelah @com Ależ ja nigdzie ni wspomniałem nawet o bezpie... 7.06.2015, 20:06:35

Omenomn CytatBłąd wywołałem przesyłając tablicę zamiast do... 7.06.2015, 20:51:50

Spawnm Wysłałem pole foo nie jako string ale jako tablice... 7.06.2015, 21:09:04

markonix Cytat(Spawnm @ 7.06.2015, 22:09:04 ) ... 7.06.2015, 22:56:50

aras785 Cytat(Spawnm @ 7.06.2015, 22:09:04 ) ... 16.06.2015, 23:03:56

Omenomn CytatWysłałem pole foo nie jako string ale jako ta... 7.06.2015, 22:10:49

com Xelah to zupełnie dwie odmienne rzeczy, ale biorąc... 7.06.2015, 22:37:05

Xelah Cytat(com @ 7.06.2015, 23:37:05 ) Xel... 8.06.2015, 11:10:22

Omenomn CytatCytat Wysłałem pole foo nie jako string ale j... 7.06.2015, 23:02:32

Spawnm @Omenomn ty tak na serio? Wystarczy wprowadzić p... 7.06.2015, 23:28:13

markonix Cytat(Spawnm @ 8.06.2015, 00:28:13 ) ... 8.06.2015, 10:47:08

Spawnm Cytat(markonix @ 8.06.2015, 11:47:08 ... 8.06.2015, 12:50:45

Turson Error occurred: 403 - forbidden 8.06.2015, 06:28:39

Omenomn Cytat@Omenomn ty tak na serio? Wystarczy wprowad... 8.06.2015, 09:36:43

Pyton_000 Zawsze można rzutować zmienne np. (string) czy (in... 8.06.2015, 10:49:26

Omenomn Poprawiłem wszystkie pola o walidację stringa i do... 8.06.2015, 13:07:30

com CytatChodzi o przewidywalność. Bo jak robię OPTION... 8.06.2015, 18:30:31

webmaniak Kilka uwag: -brak info o błędzie w przypadku wpisa... 17.06.2015, 08:07:29

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: