Ср, 22.11.2017, 01:07
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 171231617»
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.6 Шкільний сайт, обговорення сайтів » Обговорення web сайтів (Зауваження та поради)
Обговорення web сайтів
Jokerz Дата: Чт, 28.02.2008, 15:18 | Повідомлення № 1
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Вот в разделе сайт Spirit дал идею по поводу темы с обсуждением сайтов. Вот я создал. Бросайте свои сайты будем помогать и плане защиты так же.

Так ну раз начали обговаривать сайт
http://vvpu.evolyn.com/
то я внесу свой вклад.

Ну я как немного шарящий по безопасности скажу.
ну сразу начал с гостевухи:
Выполнение client-side кода
Нету фильтрации html хотя есть но очень хилое. Например если вписать :
Код
<hr><hr><hr><hr> - будет 4 линии горизонтальных
<H1>test</H1> - большими буквами будет слово test


Конечно увидел что в формы : *Ім'я
*Місто
*E-mail
*Сайт
*ICQ
есть ограничение на кол-во вводимых символов, так что сильно не разгонишся.
Дальше пробовал вставить ява скрипт:

идет урезание и фильтр на слово javasсript и alert
пробовал немного изменить XSS запрос:
Код
<IMG SRC="javasCript:alert('its works!!')">

снова не прошло слово ява
подумал что все.
Но тут вспомнил про редирект.
Вообщем если вписать в поле сообщения:
Код
<META HTTP-*********************** CONTENT=0;URL=http://your_page.com>
(код изменен специально что бы никто не использовал в реальных действиях, если автор хочет я ему напишу реальный)
то у пользователя который смотрит страничку в гостевой будет автоматом перенапрявлять на URL=http://your_page.com - т.е. файктически гостевой он и видеть не будет. От уже серьезная бага.
Выполнение client-side кода
Результат: нету поддержки SSI. [ Server Side Includes ]
потому не прошло ничего
ну это то что я успел пока было свободное время. ;)


[admin]Шановні форумчани!!!!!
Повідомлення, які не відповідають темі або несуть некорисний зміст будуть видалятись без попередження!!!


Відредаговано: W-w-W - Пт, 08.01.2016, 18:26
Spirit Дата: Чт, 28.02.2008, 16:39 | Повідомлення № 2
Сис.адмін
Повідомлень: 406
Нагороди: 1
Рейтинг: 25
ОК. Поехали разрабатывать эту тему.
Кидайте, пожалуйста СВОЙ сайт написанным чуть большим шрифтом чем всё остальное, а при обговорке, обязательно указывайте про какой сайт идет речь.

Вечером включюсь в активную работу над анализом сайта http://vvpu.evolyn.com/

Jokerz Дата: Чт, 28.02.2008, 17:49 | Повідомлення № 3
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
вот еще мелоч smile
http://www.vvpu.evolyn.com/book_uk....3E
нету в гет фильтра на входящие данные от юзера вообще то без обидно но эт пока smile
щас буду пробовать php inj + XSS cool

Добавлено (28.02.2008, 17:49)
---------------------------------------------
И так в гостевой ситуация такая что движок смотрит если есть знаки " ' то пере ними ставить косую /
т.е. когда я впишу туда (и еще к удевлению фильтрует слово XSS smile )

Code
<IMG SRC="javascript:alert('XSS');">

он в результате проверки выдаст на страницу:
Code
<IMG SRC=/"javascript:alert(/'XSS/');/">

что работать не будет потому как не верный запрос. Я ломал голову долго пробовал шифровать, использовать системные коды, но меня система раскусывала. Т.е. нужно было провести XSS атаку не используя символов ' "
но как?
в все оказалось просто.
Quote
<script>alert(document.cookie)</script>

теперь отослав методом GET:
Code
http://www.vvpu.evolyn.com/book_uk/admin/index.php?acc=<script>alert(document.cookie)</script>

Вы получите свои собсвенные куки. Это фигня, но это очень серьезная дыра.
Поскольку легко написать запрос который будет все куки отправлять на снифер.
И в результате хакер получит куки (ключи к админке гостевой) и легко войдет под админом.
вообщем если еще посижу то думаю еще найду не одну багу wink


Відредаговано: Jokerz - Чт, 28.02.2008, 17:50
oleg_teacher Дата: Чт, 28.02.2008, 18:54 | Повідомлення № 4
Любитель дискутувати
Повідомлень: 177
Нагороди: 0
Рейтинг: 2
Quote (Jokerz)
И в результате хакер получит куки (ключи к админке гостевой) и легко войдет под админом.
вообщем если еще посижу то думаю еще найду не одну багу

Да ну і ви монстр хакерских атак. Взагалі є сайти які не мона взломати? Чи завжди знайдуть і дадуть в бубен!!!
Nicola Дата: Чт, 28.02.2008, 19:36 | Повідомлення № 5
Прописаний назавжди
Повідомлень: 337
Нагороди: 2
Рейтинг: 13
Оце цікава тема!! Ану побийте й мене. Тільки не боляче. http://nlannaschool.narod.ru . Чи ,,старий" narod взагалі пора вже забути?!!

Відредаговано: Nicola - Чт, 28.02.2008, 19:37
Jokerz Дата: Чт, 28.02.2008, 19:50 | Повідомлення № 6
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
Quote (oleg_teacher)
Да ну і ви монстр хакерских атак.

было юношество .... вообщем меня змели за взлом провайдера вот теперь свои знания в добрую струю пускаю на защиту. Это потому как поймают только тогда понимаешь что такое Хакер.
Quote (oleg_teacher)
Взагалі є сайти які не мона взломати? Чи завжди знайдуть і дадуть в бубен!!!

нету такой системы которую не возможно было бы взломать!
просто иногда не хватает знаний и времени для взлома. Чем сложнее система тем больше в ней дыр это факт. Но не взломаешь сайт который стоит на чистом html потому что любая хак атака базируется на работе с данными, с запросами. Но поскольку нету возможности обмена данными в статических сайтах то внедрить что то свое не выйдет.
Quote (Nicola)
Оце цікава тема!! Ану побийте й мене. Тільки не боляче.

посмотрим если там только html то спите спокойно wink

Добавлено (28.02.2008, 19:50)
---------------------------------------------
http://nlannaschool.narod.ru- нечего там ломать это статический сайт на html потому нету обмена данными между сервером и пользователем. так что спите спокойно

Spirit Дата: Пт, 29.02.2008, 00:06 | Повідомлення № 7
Сис.адмін
Повідомлень: 406
Нагороди: 1
Рейтинг: 25
http://nlannaschool.narod.ru

По дизайну.
1. Открываю сайт, на главной странице 6 пёстрых цветов фона - это капец, глаза режет ужасно, хочеться сразу закрыть. Лучше сделайте сайт в одной тональной палитре, а если что-то и надо выделить, то всегда и везде одним цветом.

2. Для меню использован курсивный шрифт - плохо читается, а меню должно быть хорошо читабельным. А первый пункт сделан курсив + жирный.

3. Переходя на каждую из страниц опять яркий и пестрый дизайн, и совсем не сохранен первичный вид страницы, такое впечаление, что я попал на другой сайт. Выработайте корпоративный стиль и работайте в рамках этого стиля. Все стили можно (нужно) прописать в CSS-файле и обращаться к нему из тегов.

Народ.ру работает хорошо, но можно переехать и на украинские домены. Но это уже дело вкуса. smile

Пока дизайн этого проекта больше не трогаю, думаю и так есть над чем работать.

Добавлено (29.02.2008, 00:06)
---------------------------------------------
Поехали по первому проекту
http://vvpu.evolyn.com/

Тяжеленный сайт!!! Это просто капец, он у меня медленно грузиться, что говорить про каналы связи меньше 512Кбит/с.

Приведу пример, чтоб не быть голословным.
В правом боку есть фон bok2.jpg - весит 24.7 КБ, если пересохранить в GIF с 8 цветной адаптированной палитрой - 4 КБ В этом же правом боку фотки, которые около 50 пикс. по высоте весят по 50-70 КБ.
Вердикт - оптимизировать! smile

На всех последующих страничках (после главной) красивая фиолетовая шапка куда-то пропадает... ну оставьте... ведь красиво... а меню можно выкинуть... и цвет фона поменялся...

Страничка структура. Какая цель этой странички? Там столько всего нагорожено, что я и читать не захотел... и где картинки!?

Методическая работа. А сколько человек прочитало этот текст, таким мелким шрифтом? Может сократить, ну ведь чем меньше написано, тем больше вероятность, что это прочитают, а сайт должен доносить информацию!

Как работает пункт меню ФОРУМ я вообще не понял. Модет там прямую ссылку прописать, без промежуточной страницы?

О... еще одно по поисковой оптимизации. На всех страницах кроме главной тэга title нет, а это плохо!

В архиве новостей, кликаю по новости, а она не открывается в более подробную и с большей фоткой... sad абыдно...

И подумайте, может цыет фона чуток изменить в сторону фиолетового, но это уверенно сказать не могу, надо пробовать.

Подчеркнутые новости, вводять в оману... опять хочу по ним кликать... а не кликается...

Ну пока всё. Ушел спать! Пока кто-то спит, кто-то работает, и наоборот smile

Jokerz Дата: Пт, 29.02.2008, 09:24 | Повідомлення № 8
Хостер
Повідомлень: 1198
Нагороди: 4
Рейтинг: 102
smile
Quote (Spirit)
Пока кто-то спит, кто-то работает, и наоборот

это точно smile у меня саппорты работают и ночью

Добавлено (29.02.2008, 09:24)
---------------------------------------------
Уважаемые пользователи прошу давать на рассмотрение адреса ваших сайтов.
Давайте зделаем Ваши сайты безопаснее и лучше вместе!

Nicola Дата: Пт, 29.02.2008, 14:35 | Повідомлення № 9
Прописаний назавжди
Повідомлень: 337
Нагороди: 2
Рейтинг: 13
Дякую за відгуки. Постараюсь що зможу за вільним часом змінити(вже дещо на головній змінив, але не все мені подобається). Зі шрифтом попрацюємо. Колись навчимося, бо за 2,5 місяці багато не встигнеш!!!
Quote (Spirit)
Все стили можно (нужно) прописать в CSS-файле и обращаться к нему из тегов.
Сайт не підтримує php.
oleg_teacher Дата: Пт, 29.02.2008, 15:05 | Повідомлення № 10
Любитель дискутувати
Повідомлень: 177
Нагороди: 0
Рейтинг: 2
Quote (Nicola)
CSS-файле

це не пхп
Rus2007 Дата: Пт, 29.02.2008, 15:45 | Повідомлення № 11
Я тут недавно...
Повідомлень: 38
Нагороди: 0
Рейтинг: 6
Jokerz, Дякую за підказки - будемо працювати в напрямку покращення безпеки сайта. Spirit, і в напрямку оптимізації та дизайна також.
Nicola Дата: Пт, 29.02.2008, 19:23 | Повідомлення № 12
Прописаний назавжди
Повідомлень: 337
Нагороди: 2
Рейтинг: 13
А де про CSS та його застосування можна прочитати?
Spirit Дата: Пт, 29.02.2008, 21:32 | Повідомлення № 13
Сис.адмін
Повідомлень: 406
Нагороди: 1
Рейтинг: 25
Quote (Nicola)
А де про CSS та його застосування можна прочитати?

Я рекомендую установить Adobe (Macromedia) DreamWeaver, это среда разработки сайтов, там очень удобно можно создавать стили CSS и сразу использовать их в HTML-тэгах.

Nicola, Rus2007, большое спасибо за позитивные отзывы про нашу работу по анализу. Очень приятно, что идея обговорки превращается в реальность! Если есть конкретне запросы, пишите, будем анализировать, разбираться, по мере свободного времени, конечно! smile

И всем-всем успехов в этом не легком деле!

SLKuty Дата: Сб, 01.03.2008, 01:39 | Повідомлення № 14
Монтажер
Повідомлень: 808
Нагороди: 6
Рейтинг: 103
Чи варто морочити голову з Веб дизайном, коли є конструктори сайтів такі я к www.ucoz.ru
Великий вибір готових шаблонів
200 Мб безплатного місця в неті
тут тобі і форум і гостьова книга і фотоальбоми і реєстрація
свій сімейний сайт я зробив за пару годин, які потратив на переклад заголовків
мені здається що і цей сайт інформатиків зроблений саме в такому конструкторі , принаймі деякі вікна вискакують так само оформлені.
Може хтось знає такий конструктор десь на Україні? Чи наші нічого безплатно не роблять
Чи є зміст взагалі в школі вивчати НТML якщо можна все зробити без нього
Bandalak Дата: Сб, 01.03.2008, 02:02 | Повідомлення № 15
Лідер форуму
Повідомлень: 5532
Нагороди: 39
Рейтинг: 260
Quote (SLKuty)
Чи є зміст взагалі в школі вивчати НТML якщо можна все зробити без нього

Якщо не розуміти сутність того, що робиш на сайті до максимально можливої глибини і лише довіряти різним конструкторам, то і оком не встигнеш моргнути як опинишся у такій халепі, у якій недавно побував Sasyk

НТML - у розробці сайтів - це основа основ, без якої нікуди далеко не заїдеш ! Це всеодно, що для хірурга анатомія, а для вчителя інформатики програмування!

Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.6 Шкільний сайт, обговорення сайтів » Обговорення web сайтів (Зауваження та поради)
Сторінка 1 з 171231617»
Пошук:


© Форум інформатиків України, 2007-2017.