Обговорення web сайтів

Дата: Чт, 28.02.2008, 16:18 | Повідомлення № 1

Хостер

Повідомлень: 1191

Нагороди: 4

Рейтинг: 97

Вот в разделе сайт Spirit дал идею по поводу темы с обсуждением сайтов. Вот я создал. Бросайте свои сайты будем помогать и плане защиты так же.

Так ну раз начали обговаривать сайт
http://vvpu.evolyn.com/
то я внесу свой вклад.

Ну я как немного шарящий по безопасности скажу.
ну сразу начал с гостевухи:
Выполнение client-side кода
Нету фильтрации html хотя есть но очень хилое. Например если вписать :

Код

<hr><hr><hr><hr> - будет 4 линии горизонтальных
<H1>test</H1> - большими буквами будет слово test

Конечно увидел что в формы : *Ім'я
*Місто
*E-mail
*Сайт
*ICQ
есть ограничение на кол-во вводимых символов, так что сильно не разгонишся.
Дальше пробовал вставить ява скрипт:

идет урезание и фильтр на слово javasсript и alert
пробовал немного изменить XSS запрос:

Код

снова не прошло слово ява
подумал что все.
Но тут вспомнил про редирект.
Вообщем если вписать в поле сообщения:

Код

(код изменен специально что бы никто не использовал в реальных действиях, если автор хочет я ему напишу реальный)
то у пользователя который смотрит страничку в гостевой будет автоматом перенапрявлять на URL=http://your_page.com - т.е. файктически гостевой он и видеть не будет. От уже серьезная бага.

Выполнение client-side кода
Результат: нету поддержки SSI. [ Server Side Includes ]
потому не прошло ничего
ну это то что я успел пока было свободное время. ;)

[admin]Шановні форумчани!!!!!
Повідомлення, які не відповідають темі або несуть некорисний зміст будуть видалятись без попередження!!!

Відредаговано: W-w-W - Пт, 08.01.2016, 19:26

Spirit

Дата: Чт, 28.02.2008, 17:39 | Повідомлення № 2

Сис.адмін

Повідомлень: 406

Нагороди: 1

Рейтинг: 25

ОК. Поехали разрабатывать эту тему.
Кидайте, пожалуйста СВОЙ сайт написанным чуть большим шрифтом чем всё остальное, а при обговорке, обязательно указывайте про какой сайт идет речь.

Вечером включюсь в активную работу над анализом сайта http://vvpu.evolyn.com/

Jokerz

Дата: Чт, 28.02.2008, 18:49 | Повідомлення № 3

Хостер

Повідомлень: 1191

Нагороди: 4

Рейтинг: 97

вот еще мелоч smile

http://www.vvpu.evolyn.com/book_uk....3E
нету в гет фильтра на входящие данные от юзера вообще то без обидно но эт пока smile

щас буду пробовать php inj + XSS cool

Добавлено (28.02.2008, 17:49)
---------------------------------------------
И так в гостевой ситуация такая что движок смотрит если есть знаки " ' то пере ними ставить косую /
т.е. когда я впишу туда (и еще к удевлению фильтрует слово XSS smile )

Code

он в результате проверки выдаст на страницу:

Code

что работать не будет потому как не верный запрос. Я ломал голову долго пробовал шифровать, использовать системные коды, но меня система раскусывала. Т.е. нужно было провести XSS атаку не используя символов ' "
но как?
в все оказалось просто.

Quote

теперь отослав методом GET:

Code

http://www.vvpu.evolyn.com/book_uk/admin/index.php?acc=<script>alert(document.cookie)</script>

Вы получите свои собсвенные куки. Это фигня, но это очень серьезная дыра.
Поскольку легко написать запрос который будет все куки отправлять на снифер.
И в результате хакер получит куки (ключи к админке гостевой) и легко войдет под админом.
вообщем если еще посижу то думаю еще найду не одну багу wink

Відредаговано: Jokerz - Чт, 28.02.2008, 18:50

oleg_teacher

Дата: Чт, 28.02.2008, 19:54 | Повідомлення № 4

Любитель дискутувати

Повідомлень: 177

Нагороди: 0

Рейтинг: 2

Quote (Jokerz)

И в результате хакер получит куки (ключи к админке гостевой) и легко войдет под админом.
вообщем если еще посижу то думаю еще найду не одну багу

Да ну і ви монстр хакерских атак. Взагалі є сайти які не мона взломати? Чи завжди знайдуть і дадуть в бубен!!!

Nicola

Дата: Чт, 28.02.2008, 20:36 | Повідомлення № 5

Прописаний назавжди

Повідомлень: 337

Нагороди: 2

Рейтинг: 13

Оце цікава тема!! Ану побийте й мене. Тільки не боляче. http://nlannaschool.narod.ru . Чи ,,старий" narod взагалі пора вже забути?!!

Відредаговано: Nicola - Чт, 28.02.2008, 20:37

Jokerz

Дата: Чт, 28.02.2008, 20:50 | Повідомлення № 6

Хостер

Повідомлень: 1191

Нагороди: 4

Рейтинг: 97

Quote (oleg_teacher)

Да ну і ви монстр хакерских атак.

было юношество .... вообщем меня змели за взлом провайдера вот теперь свои знания в добрую струю пускаю на защиту. Это потому как поймают только тогда понимаешь что такое Хакер.

Quote (oleg_teacher)

Взагалі є сайти які не мона взломати? Чи завжди знайдуть і дадуть в бубен!!!

нету такой системы которую не возможно было бы взломать!
просто иногда не хватает знаний и времени для взлома. Чем сложнее система тем больше в ней дыр это факт. Но не взломаешь сайт который стоит на чистом html потому что любая хак атака базируется на работе с данными, с запросами. Но поскольку нету возможности обмена данными в статических сайтах то внедрить что то свое не выйдет.

Quote (Nicola)

Оце цікава тема!! Ану побийте й мене. Тільки не боляче.

посмотрим если там только html то спите спокойно wink

Добавлено (28.02.2008, 19:50)
---------------------------------------------
http://nlannaschool.narod.ru- нечего там ломать это статический сайт на html потому нету обмена данными между сервером и пользователем. так что спите спокойно

Spirit

Дата: Пт, 29.02.2008, 01:06 | Повідомлення № 7

Сис.адмін

Повідомлень: 406

Нагороди: 1

Рейтинг: 25

http://nlannaschool.narod.ru

По дизайну.
1. Открываю сайт, на главной странице 6 пёстрых цветов фона - это капец, глаза режет ужасно, хочеться сразу закрыть. Лучше сделайте сайт в одной тональной палитре, а если что-то и надо выделить, то всегда и везде одним цветом.

2. Для меню использован курсивный шрифт - плохо читается, а меню должно быть хорошо читабельным. А первый пункт сделан курсив + жирный.

3. Переходя на каждую из страниц опять яркий и пестрый дизайн, и совсем не сохранен первичный вид страницы, такое впечаление, что я попал на другой сайт. Выработайте корпоративный стиль и работайте в рамках этого стиля. Все стили можно (нужно) прописать в CSS-файле и обращаться к нему из тегов.

Народ.ру работает хорошо, но можно переехать и на украинские домены. Но это уже дело вкуса. smile

Пока дизайн этого проекта больше не трогаю, думаю и так есть над чем работать.

Добавлено (29.02.2008, 00:06)
---------------------------------------------
Поехали по первому проекту
http://vvpu.evolyn.com/

Тяжеленный сайт!!! Это просто капец, он у меня медленно грузиться, что говорить про каналы связи меньше 512Кбит/с.

Приведу пример, чтоб не быть голословным.
В правом боку есть фон bok2.jpg - весит 24.7 КБ, если пересохранить в GIF с 8 цветной адаптированной палитрой - 4 КБ В этом же правом боку фотки, которые около 50 пикс. по высоте весят по 50-70 КБ.
Вердикт - оптимизировать! smile

На всех последующих страничках (после главной) красивая фиолетовая шапка куда-то пропадает... ну оставьте... ведь красиво... а меню можно выкинуть... и цвет фона поменялся...

Страничка структура. Какая цель этой странички? Там столько всего нагорожено, что я и читать не захотел... и где картинки!?

Методическая работа. А сколько человек прочитало этот текст, таким мелким шрифтом? Может сократить, ну ведь чем меньше написано, тем больше вероятность, что это прочитают, а сайт должен доносить информацию!

Как работает пункт меню ФОРУМ я вообще не понял. Модет там прямую ссылку прописать, без промежуточной страницы?

О... еще одно по поисковой оптимизации. На всех страницах кроме главной тэга title нет, а это плохо!

В архиве новостей, кликаю по новости, а она не открывается в более подробную и с большей фоткой... sad абыдно...

И подумайте, может цыет фона чуток изменить в сторону фиолетового, но это уверенно сказать не могу, надо пробовать.

Подчеркнутые новости, вводять в оману... опять хочу по ним кликать... а не кликается...

Ну пока всё. Ушел спать! Пока кто-то спит, кто-то работает, и наоборот smile

Jokerz

Дата: Пт, 29.02.2008, 10:24 | Повідомлення № 8

Хостер

Повідомлень: 1191

Нагороди: 4

Рейтинг: 97

Quote (Spirit)

Пока кто-то спит, кто-то работает, и наоборот

это точно

у меня саппорты работают и ночью

Добавлено (29.02.2008, 09:24)
---------------------------------------------
Уважаемые пользователи прошу давать на рассмотрение адреса ваших сайтов.
Давайте зделаем Ваши сайты безопаснее и лучше вместе!

Nicola

Дата: Пт, 29.02.2008, 15:35 | Повідомлення № 9

Прописаний назавжди

Повідомлень: 337

Нагороди: 2

Рейтинг: 13

Дякую за відгуки. Постараюсь що зможу за вільним часом змінити(вже дещо на головній змінив, але не все мені подобається). Зі шрифтом попрацюємо. Колись навчимося, бо за 2,5 місяці багато не встигнеш!!!

Quote (Spirit)

Все стили можно (нужно) прописать в CSS-файле и обращаться к нему из тегов.

Сайт не підтримує php.

oleg_teacher

Дата: Пт, 29.02.2008, 16:05 | Повідомлення № 10

Любитель дискутувати

Повідомлень: 177

Нагороди: 0

Рейтинг: 2

Quote (Nicola)

CSS-файле

це не пхп

Rus2007

Дата: Пт, 29.02.2008, 16:45 | Повідомлення № 11

Я тут недавно...

Повідомлень: 38

Нагороди: 0

Рейтинг: 6

Jokerz, Дякую за підказки - будемо працювати в напрямку покращення безпеки сайта. Spirit, і в напрямку оптимізації та дизайна також.

Nicola

Дата: Пт, 29.02.2008, 20:23 | Повідомлення № 12

Прописаний назавжди

Повідомлень: 337

Нагороди: 2

Рейтинг: 13

А де про CSS та його застосування можна прочитати?

Spirit

Дата: Пт, 29.02.2008, 22:32 | Повідомлення № 13

Сис.адмін

Повідомлень: 406

Нагороди: 1

Рейтинг: 25

Quote (Nicola)

А де про CSS та його застосування можна прочитати?

Я рекомендую установить Adobe (Macromedia) DreamWeaver, это среда разработки сайтов, там очень удобно можно создавать стили CSS и сразу использовать их в HTML-тэгах.

Nicola, Rus2007, большое спасибо за позитивные отзывы про нашу работу по анализу. Очень приятно, что идея обговорки превращается в реальность! Если есть конкретне запросы, пишите, будем анализировать, разбираться, по мере свободного времени, конечно! smile

И всем-всем успехов в этом не легком деле!

SLKuty

Дата: Сб, 01.03.2008, 02:39 | Повідомлення № 14

Монтажер

Повідомлень: 805

Нагороди: 6

Рейтинг: 103

Чи варто морочити голову з Веб дизайном, коли є конструктори сайтів такі я к www.ucoz.ru
Великий вибір готових шаблонів
200 Мб безплатного місця в неті
тут тобі і форум і гостьова книга і фотоальбоми і реєстрація
свій сімейний сайт я зробив за пару годин, які потратив на переклад заголовків
мені здається що і цей сайт інформатиків зроблений саме в такому конструкторі , принаймі деякі вікна вискакують так само оформлені.
Може хтось знає такий конструктор десь на Україні? Чи наші нічого безплатно не роблять
Чи є зміст взагалі в школі вивчати НТML якщо можна все зробити без нього

Bandalak

Дата: Сб, 01.03.2008, 03:02 | Повідомлення № 15

Лідер форуму

Повідомлень: 5384

Нагороди: 37

Рейтинг: 247

Quote (SLKuty)

Чи є зміст взагалі в школі вивчати НТML якщо можна все зробити без нього

Якщо не розуміти сутність того, що робиш на сайті до максимально можливої глибини і лише довіряти різним конструкторам, то і оком не встигнеш моргнути як опинишся у такій халепі, у якій недавно побував Sasyk

НТML - у розробці сайтів - це основа основ, без якої нікуди далеко не заїдеш ! Це всеодно, що для хірурга анатомія, а для вчителя інформатики програмування!