[www] Strona szkoły Opcje

[WebSee]

Witam,

proszę o ocenę wykonanej przeze mnie strony szkoły: http://group.websee.com.pl/

Pozdrawiam

[SHiP]

Nie chcę wyjść na złego hakira z małej wioski ale usunąłem Ci newsa o id=35

Zrzut backupa z panelu admina

<div id="p-cont">
<h1>Pomysł na biznes w powiecie limanowskim - 14 stycznia 2010 <small class="edinfo">[ <a href="news.php?go=edit&id=35" title="Edytuj newsa">Edytuj</a> - <a href="news.php?go=delete&id=35">Usuń</a> ]</small></h1>
Byliśmy gospodarzami uroczystości wręczenia nagród laureatom V Konkursu "Pomysł
na biznes w powiecie limanowskim" organizowanego przez Powiat Limanowski oraz
Radę Przedsiebiorczości Powiatu Limanowskiego. W konkursie wzięły udział 43 projekty.
Wśród czołówki młodych biznesowych talentów znaleźli sie również nasi uczniowie z klasy 3TE
- Michał Śliwa i Krystian Tokarz - zajęli III miejsce za projekt za projekt "GAB - LIM".
Gratulujemy!
<br /> <br />

<div style="text-align: center; "><img hspace="10" align="center" src="http://zstio.edu.pl/img/2009_10/biznes1.jpg" /> <img hspace="10" align="center" src="http://zstio.edu.pl/img/2009_10/biznes2.jpg" />
</div>
</div>

Poczytaj o atakach CSRF ponieważ linki typu news.php?go=delete&id=35 są kretyńskie ponieważ nie wymagają żadnego potwierdzenia. Co więcej aby taki link zadziałał nie potrzeba nawet uprawnień administratora. Jak zobaczyłem, że to działało bez uprawnień admina to aż pomyślałem WFT? (IMG:style_emoticons/default/ohmy.gif)

Ten post edytował SHiP 1.07.2010, 21:52:35