|
| Опубликовано 22.10.2007 13:04 (17 лет назад) # |
Хы :D
|
|
|
|
|
| Опубликовано 22.10.2007 13:25 (17 лет назад) # |
Проверял сайт на уязвимости!Вот что получилось!
80 порт!
1)Межсайтовый скриптинг в поле Expect.
Краткое описание:
Уязвимость позволяет удаленному пользователю произвести нападение с помощью межсайтового скриптинга.
Подробное описание
Уязвимость существует из-за недостаточной обработки входных данных в заголовке "Expect:". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Решение
Установите обновление:
http://httpd.apache.org/download.cgi
2)Уязвимость
Незащищенная передача данных
Описание
Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде.
Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.
Решение
Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер.
3) Доступна информация
Доступен метод TRACE
Описание
С помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг.
Решение
Запретить выполнение этого метода.
22 порт!
1)Уязвимость
Слабая криптография
Описание
Версии протокола 1.33 и 1.5 недостаточно защищены криптографически.
Решение
Использовать версии протокола 1.99 или 2.0.
|
|
|
|
|
| Опубликовано 22.10.2007 17:47 (17 лет назад) # |
пхп-фужн использует cgi? их же отключить вообще можно...
и вообе ломают тем, что в директории аттачей нет файла htaccess запрещающего выполнение скриптов в той папке, а функция verify_image() пропускает файлы с кодом пхп... |
|
|
|
|
| Опубликовано 23.10.2007 11:22 (17 лет назад) # |
| Есть предложение на счёт борьбы с мухлёвщиками (голосующих за один пункт несколько раз) - не обнулять голоса, и даже не банить на сайте на неделю, просто определяем ай пи нарушителя и баним бля него форму здачи работы на этот конкурс (:
редакция от Gluk, 23.10.2007 11:23 |
|
|
|
|
| Опубликовано 23.10.2007 11:38 (17 лет назад) # |
| наивные... с динамическим ИП можно проголосовать с разных ИП разными учетками, не говоря уже о прокси... |
|
|
|
Администратор
|
| Опубликовано 23.10.2007 12:01 (17 лет назад) # |
все проще. кто как голосовал видно. голоса призраков учитываться не будут.
Глюк, Для него. Для. И чтоб без мата, для =) |
|
|
|
|
| Опубликовано 25.10.2007 14:24 (17 лет назад) # |
Предложение на счёт клонов и голосований:
Не учитывать голоса пользователей, заренистрированных во время голосования (:
Удалять автоматически пользователей, которые в течении месяца после регистрации не оставили ни одного сообщения (: Ну вы поняли, чёто типа этого (: |
|
|
|
|
| Опубликовано 08.11.2007 14:46 (16 лет назад) # |
Так, предложение :)
Вон та табличка рейтингов она в каком виде хранится? могу написать скрипт, что вставляет около подписи медальки и тп. ерунду из таблички (ну там типа сколько учавствовал) автоматически всем кто учавствовал. Вид медалек можно будет выбрать у себя в профиле :)
Но займусь, если только точно внедрим, а не "сначала сделай, а там посмотрим"... |
|
|
|
Администратор
|
| Опубликовано 08.11.2007 15:28 (16 лет назад) # |
| Та табличка рейтингов хранится в txt у меня и в html тут. |
|
|
|
|
| Опубликовано 08.11.2007 15:44 (16 лет назад) # |
мля, 21 век на дворе... :))
Ладно, можно в принципе импортнуть в таблицу базы, быстрее работает, удобнее править. Як считаешь? :) |
|
|
|
Администратор
|
| Опубликовано 08.11.2007 16:02 (16 лет назад) # |
| Таблица генерируется каждый раз после конкурса. В тхт только данные по каждому конкурсу (участники и места), хтмл получается суммированием этого всего и подсчетом баллов. Считаю, что проще написать все по новой (данные предоставлю) |
|
|
|
|
| Опубликовано 08.11.2007 16:12 (16 лет назад) # |
тогда нужны данные результатов и дамп таблицы fusion_users (ну или какой там префикс) с полями user_id и user_name чтобы на локалхосте отладить (сделай в phpmyadmin). Ну или давай сделаю скрипт, он снимет дамп, а ты его перешлешь :)
только доступ к ftp есть? |
|
|
|
Администратор
|
| Опубликовано 08.11.2007 16:59 (16 лет назад) # |
| Доступ есть, php я не знаю совершенно. |
|
|
|
|
| Опубликовано 08.11.2007 18:37 (16 лет назад) # |
| значит буду делать :) |
|
|
|
|
| Опубликовано 08.11.2007 18:43 (16 лет назад) # |
Интересно, зачем это тебе дамп таблицы юзеров? Я протестую. (:
Да и вообще, сейчас обкастомизируемся, а потом не сможем обновиться по человечески. Если есть желание что-то полезное для сайта написать - делайте в виде плагина к движку. |
|
|
|
|
| Опубликовано 08.11.2007 19:05 (16 лет назад) # |
Интересно, зачем это тебе дамп таблицы юзеров?
чтобы я локально прогнал тесты и таблица выглядела так, как щас :)
к тому же мне нужны поля id и username :)
делаю не плагином, там несколько файлов скриптов, + добавляется в админку, ничего "родного" не правится, поэтому обновления самого сайта пофиг. Надо будет удалить - нужно удалить эти скрипты и усе (ну и в админке иконку снести) :)
я вот щас глянул - а че за чехарда со ссылками на конкурсы в таблице? то viewpage, то page... О_о |
|
|
|
|
| Опубликовано 08.11.2007 19:08 (16 лет назад) # |
| а вообще движок пхп-енджин дибильноватый, внутренне, я задолбался среди кучи дефайнов выковыривать то, что надо :) |
|
|
|
|
| Опубликовано 08.11.2007 20:35 (16 лет назад) # |
хм... экстремальное программирование :)
сделал таблицу топа, добавление и удаление участия юзеров в конкурсах, смену места в конкурсе.
щас прикручу рюшечек и гребаную табличку собственно прявязок ссылок конкурсов и усе :) |
|
|
|
|
| Опубликовано 08.11.2007 21:16 (16 лет назад) # |
продолжаем флудить :)
вот:
давайте результаты и дамп таблицы :) |
|
|
|
|
| Опубликовано 09.11.2007 01:08 (16 лет назад) # |
Anton Andreevitch написал:
Так, предложение :)
Вон та табличка рейтингов она в каком виде хранится? могу написать скрипт, что вставляет около подписи медальки и тп. ерунду из таблички (ну там типа сколько учавствовал) автоматически всем кто учавствовал.
Категорически против. Место подписи - личиное место каждого. Совать туда что-либо автоматически, считаю недопустимым. Каждый сам решает, что у него в подписи есть, а чего нет. |
|
|
|