 |
Вітаю Вас, Гість · RSS |
 |
|
Обговорення web сайтів
|
| Jokerz |
Дата: Чт, 28.02.2008, 15:18 | Повідомлення № 1 |
|
Хостер
Повідомлень: 1242
| Вот в разделе сайт Spirit дал идею по поводу темы с обсуждением сайтов. Вот я создал. Бросайте свои сайты будем помогать и плане защиты так же.
Так ну раз начали обговаривать сайт
http://vvpu.evolyn.com/
то я внесу свой вклад.
Ну я как немного шарящий по безопасности скажу.
ну сразу начал с гостевухи:
Выполнение client-side кода
Нету фильтрации html хотя есть но очень хилое. Например если вписать :
Код <hr><hr><hr><hr> - будет 4 линии горизонтальных
<H1>test</H1> - большими буквами будет слово test
Конечно увидел что в формы : *Ім'я
*Місто
*E-mail
*Сайт
*ICQ
есть ограничение на кол-во вводимых символов, так что сильно не разгонишся.
Дальше пробовал вставить ява скрипт:
)
идет урезание и фильтр на слово javasсript и alert
пробовал немного изменить XSS запрос:
Код <IMG SRC="javasCript:alert('its works!!')">
снова не прошло слово ява
подумал что все.
Но тут вспомнил про редирект.
Вообщем если вписать в поле сообщения:
Код <META HTTP-*********************** CONTENT=0;URL=http://your_page.com>
то у пользователя который смотрит страничку в гостевой будет автоматом перенапрявлять на URL=http://your_page.com - т.е. файктически гостевой он и видеть не будет. От уже серьезная бага. 
Выполнение client-side кода
Результат: нету поддержки SSI. [ Server Side Includes ]
потому не прошло ничего
ну это то что я успел пока было свободное время. ;)
[admin]Шановні форумчани!!!!!
Повідомлення, які не відповідають темі або несуть некорисний зміст будуть видалятись без попередження!!!
Відредаговано: W-w-W - Пт, 08.01.2016, 18:26 |
|
| | |
| Spirit |
Дата: Чт, 28.02.2008, 16:39 | Повідомлення № 2 |
|
Сис.адмін
Повідомлень: 406
| ОК. Поехали разрабатывать эту тему.
Кидайте, пожалуйста СВОЙ сайт написанным чуть большим шрифтом чем всё остальное, а при обговорке, обязательно указывайте про какой сайт идет речь. Вечером включюсь в активную работу над анализом сайта http://vvpu.evolyn.com/
|
|
| | |
| Jokerz |
Дата: Чт, 28.02.2008, 17:49 | Повідомлення № 3 |
|
Хостер
Повідомлень: 1242
| вот еще мелоч 
http://www.vvpu.evolyn.com/book_uk....3E
нету в гет фильтра на входящие данные от юзера вообще то без обидно но эт пока
щас буду пробовать php inj + XSS  Добавлено (28.02.2008, 17:49)
---------------------------------------------
И так в гостевой ситуация такая что движок смотрит если есть знаки " ' то пере ними ставить косую /
т.е. когда я впишу туда (и еще к удевлению фильтрует слово XSS )
Code <IMG SRC="javascript:alert('XSS');">
он в результате проверки выдаст на страницу:
Code <IMG SRC=/"javascript:alert(/'XSS/');/">
что работать не будет потому как не верный запрос. Я ломал голову долго пробовал шифровать, использовать системные коды, но меня система раскусывала. Т.е. нужно было провести XSS атаку не используя символов ' "
но как?
в все оказалось просто.
Quote <script>alert(document.cookie)</script>
теперь отослав методом GET:
Code http://www.vvpu.evolyn.com/book_uk/admin/index.php?acc=<script>alert(document.cookie)</script>
Вы получите свои собсвенные куки. Это фигня, но это очень серьезная дыра.
Поскольку легко написать запрос который будет все куки отправлять на снифер.
И в результате хакер получит куки (ключи к админке гостевой) и легко войдет под админом.
вообщем если еще посижу то думаю еще найду не одну багу 
Відредаговано: Jokerz - Чт, 28.02.2008, 17:50 |
|
| | |
| oleg_teacher |
Дата: Чт, 28.02.2008, 18:54 | Повідомлення № 4 |
|
Любитель дискутувати
Повідомлень: 177
| Quote (Jokerz) И в результате хакер получит куки (ключи к админке гостевой) и легко войдет под админом.
вообщем если еще посижу то думаю еще найду не одну багу
Да ну і ви монстр хакерских атак. Взагалі є сайти які не мона взломати? Чи завжди знайдуть і дадуть в бубен!!!
|
|
| | |
| Nicola |
Дата: Чт, 28.02.2008, 19:36 | Повідомлення № 5 |
|
Прописаний назавжди
Повідомлень: 401
| Оце цікава тема!! Ану побийте й мене. Тільки не боляче. http://nlannaschool.narod.ru . Чи ,,старий" narod взагалі пора вже забути?!!
Відредаговано: Nicola - Чт, 28.02.2008, 19:37 |
|
| | |
| Jokerz |
Дата: Чт, 28.02.2008, 19:50 | Повідомлення № 6 |
|
Хостер
Повідомлень: 1242
| Quote (oleg_teacher) Да ну і ви монстр хакерских атак.
было юношество .... вообщем меня змели за взлом провайдера вот теперь свои знания в добрую струю пускаю на защиту. Это потому как поймают только тогда понимаешь что такое Хакер.
Quote (oleg_teacher) Взагалі є сайти які не мона взломати? Чи завжди знайдуть і дадуть в бубен!!!
нету такой системы которую не возможно было бы взломать!
просто иногда не хватает знаний и времени для взлома. Чем сложнее система тем больше в ней дыр это факт. Но не взломаешь сайт который стоит на чистом html потому что любая хак атака базируется на работе с данными, с запросами. Но поскольку нету возможности обмена данными в статических сайтах то внедрить что то свое не выйдет.
Quote (Nicola) Оце цікава тема!! Ану побийте й мене. Тільки не боляче.
посмотрим если там только html то спите спокойно Добавлено (28.02.2008, 19:50)
---------------------------------------------
http://nlannaschool.narod.ru- нечего там ломать это статический сайт на html потому нету обмена данными между сервером и пользователем. так что спите спокойно
|
|
| | |
| Spirit |
Дата: Пт, 29.02.2008, 00:06 | Повідомлення № 7 |
|
Сис.адмін
Повідомлень: 406
| http://nlannaschool.narod.ru По дизайну.
1. Открываю сайт, на главной странице 6 пёстрых цветов фона - это капец, глаза режет ужасно, хочеться сразу закрыть. Лучше сделайте сайт в одной тональной палитре, а если что-то и надо выделить, то всегда и везде одним цветом. 2. Для меню использован курсивный шрифт - плохо читается, а меню должно быть хорошо читабельным. А первый пункт сделан курсив + жирный. 3. Переходя на каждую из страниц опять яркий и пестрый дизайн, и совсем не сохранен первичный вид страницы, такое впечаление, что я попал на другой сайт. Выработайте корпоративный стиль и работайте в рамках этого стиля. Все стили можно (нужно) прописать в CSS-файле и обращаться к нему из тегов. Народ.ру работает хорошо, но можно переехать и на украинские домены. Но это уже дело вкуса. Пока дизайн этого проекта больше не трогаю, думаю и так есть над чем работать. Добавлено (29.02.2008, 00:06)
---------------------------------------------
Поехали по первому проекту
http://vvpu.evolyn.com/ Тяжеленный сайт!!! Это просто капец, он у меня медленно грузиться, что говорить про каналы связи меньше 512Кбит/с. Приведу пример, чтоб не быть голословным.
В правом боку есть фон bok2.jpg - весит 24.7 КБ, если пересохранить в GIF с 8 цветной адаптированной палитрой - 4 КБ В этом же правом боку фотки, которые около 50 пикс. по высоте весят по 50-70 КБ.
Вердикт - оптимизировать! На всех последующих страничках (после главной) красивая фиолетовая шапка куда-то пропадает... ну оставьте... ведь красиво... а меню можно выкинуть... и цвет фона поменялся... Страничка структура. Какая цель этой странички? Там столько всего нагорожено, что я и читать не захотел... и где картинки!? Методическая работа. А сколько человек прочитало этот текст, таким мелким шрифтом? Может сократить, ну ведь чем меньше написано, тем больше вероятность, что это прочитают, а сайт должен доносить информацию! Как работает пункт меню ФОРУМ я вообще не понял. Модет там прямую ссылку прописать, без промежуточной страницы? О... еще одно по поисковой оптимизации. На всех страницах кроме главной тэга title нет, а это плохо! В архиве новостей, кликаю по новости, а она не открывается в более подробную и с большей фоткой...  абыдно... И подумайте, может цыет фона чуток изменить в сторону фиолетового, но это уверенно сказать не могу, надо пробовать. Подчеркнутые новости, вводять в оману... опять хочу по ним кликать... а не кликается... Ну пока всё. Ушел спать! Пока кто-то спит, кто-то работает, и наоборот
|
|
| | |
| Jokerz |
Дата: Пт, 29.02.2008, 09:24 | Повідомлення № 8 |
|
Хостер
Повідомлень: 1242
| Quote (Spirit) Пока кто-то спит, кто-то работает, и наоборот
это точно у меня саппорты работают и ночьюДобавлено (29.02.2008, 09:24)
---------------------------------------------
Уважаемые пользователи прошу давать на рассмотрение адреса ваших сайтов.
Давайте зделаем Ваши сайты безопаснее и лучше вместе!
|
|
| | |
| Nicola |
Дата: Пт, 29.02.2008, 14:35 | Повідомлення № 9 |
|
Прописаний назавжди
Повідомлень: 401
| Дякую за відгуки. Постараюсь що зможу за вільним часом змінити(вже дещо на головній змінив, але не все мені подобається). Зі шрифтом попрацюємо. Колись навчимося, бо за 2,5 місяці багато не встигнеш!!!
Quote (Spirit) Все стили можно (нужно) прописать в CSS-файле и обращаться к нему из тегов. |
|
| | |
| oleg_teacher |
Дата: Пт, 29.02.2008, 15:05 | Повідомлення № 10 |
|
Любитель дискутувати
Повідомлень: 177
|
це не пхп
|
|
| | |
| Rus2007 |
Дата: Пт, 29.02.2008, 15:45 | Повідомлення № 11 |
|
Я тут недавно...
Повідомлень: 38
| Jokerz, Дякую за підказки - будемо працювати в напрямку покращення безпеки сайта. Spirit, і в напрямку оптимізації та дизайна також.
|
|
| | |
| Nicola |
Дата: Пт, 29.02.2008, 19:23 | Повідомлення № 12 |
|
Прописаний назавжди
Повідомлень: 401
| А де про CSS та його застосування можна прочитати?
|
|
| | |
| Spirit |
Дата: Пт, 29.02.2008, 21:32 | Повідомлення № 13 |
|
Сис.адмін
Повідомлень: 406
| Quote (Nicola) А де про CSS та його застосування можна прочитати? Я рекомендую установить Adobe (Macromedia) DreamWeaver, это среда разработки сайтов, там очень удобно можно создавать стили CSS и сразу использовать их в HTML-тэгах. Nicola, Rus2007, большое спасибо за позитивные отзывы про нашу работу по анализу. Очень приятно, что идея обговорки превращается в реальность! Если есть конкретне запросы, пишите, будем анализировать, разбираться, по мере свободного времени, конечно! И всем-всем успехов в этом не легком деле!
|
|
| | |
| SLKuty |
Дата: Сб, 01.03.2008, 01:39 | Повідомлення № 14 |
|
Монтажер
Повідомлень: 833
| Чи варто морочити голову з Веб дизайном, коли є конструктори сайтів такі я к www.ucoz.ru
Великий вибір готових шаблонів
200 Мб безплатного місця в неті
тут тобі і форум і гостьова книга і фотоальбоми і реєстрація
свій сімейний сайт я зробив за пару годин, які потратив на переклад заголовків
мені здається що і цей сайт інформатиків зроблений саме в такому конструкторі , принаймі деякі вікна вискакують так само оформлені.
Може хтось знає такий конструктор десь на Україні? Чи наші нічого безплатно не роблять
Чи є зміст взагалі в школі вивчати НТML якщо можна все зробити без нього
|
|
| | |
| Bandalak |
Дата: Сб, 01.03.2008, 02:02 | Повідомлення № 15 |
|
Лідер форуму
Повідомлень: 6192
| Quote (SLKuty) Чи є зміст взагалі в школі вивчати НТML якщо можна все зробити без нього Якщо не розуміти сутність того, що робиш на сайті до максимально можливої глибини і лише довіряти різним конструкторам, то і оком не встигнеш моргнути як опинишся у такій халепі, у якій недавно побував Sasyk НТML - у розробці сайтів - це основа основ, без якої нікуди далеко не заїдеш ! Це всеодно, що для хірурга анатомія, а для вчителя інформатики програмування!
|
|
| |
© Форум інформатиків України, 2007-2019.  |
Бонуси!
Корисні сайти
Увійдіть
зареєструйтесь
Правила форуму
Оновлення
Учасники
Пошук
