Разное

Люди! Помогите проверить безопасность сайта!

http://web-industry.ru/rocks

Если бы при заходе на форум и некоторые другие страницы не вылезало "СТРАНИЦА НАХОДИТСЯ В РАЗРАБОТКЕ", было бы интереснее...=)

А ты админку проверь.

Проверить только эту работу или другие работы студии ? Там есть уязвимости... :)

Достаочно только эту )
На маил мне сообщить можете??

вы бы логин и пароль изменили бы! а то так даже я зашёл :)

You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'where id = '5' limit 1' at line 1

от чё нашёл в редактировании текстов - косяк господа!

там много разделов будет для редактирования, один сделал, и накопировал, надо поменять имена таблиц )))

Впервые в жизни логин и пароль с первого раза угадываю!:)

Гм... а сайт плазы совершенно бесстыдно позволяет обращаться к произвольным таблицам в БД. Причем, честно дает мне ответы об неудаче запроса/имени таблицы/ имени БД прямо в броузер.
Я бы у вас сайт заказывать не стал.

Алекс - а как проверяешь? иньекции делал али ещё чего?

10100100 - да.

а что конкретно вписывали? мне просто свой сайтец тож проверять надо а я не совсем понимаю как иньекцию сделать - что писать знаю а где и после чего не знаю....

а дизайн меня вообще порадовал! только с верхцу пустовато...

где именно ?? я смотрю вроде нормально всё...

Не уязвимость, так... Нет проверки на существование запрошенной страницы - http://www.web-industry.ru/rocks/index.php?id=1111 Кстати, я валенок=) Не увидел, где там админка:(

Действительно ужасно, я тоже моментально нашёл панель администрирования (папку с системой администрирования нужно обязательно переименовать и не называть так ни у себя, ни у клиентов) и подобрать пароль тоже с первого раза (рано или поздно это сделает кто-то, чьи намеренья будут не самые дружелюбные).

Всем спасибо, всё учту!
Я недавно работаю в компании после старого программиста куча хлама осталась ;)
Человек программил, хотя даже ссылку на почту установить не мог )))

А на счёт админки и пароля тех. директ сказал так делать, я возражать не стал.
Если кинуть попытаются, что бы были пути давления )))

хм. ну путей давления скажем ещё целая куча существует на самом деле...
старого программера расстреляейте и сожгите труп!

Да зачем целую кучу???
Достаточно одного ))

ну проблема то в том что этот путь знаете не только Вы... нужно действовать изощрённее, например сверка кукисов, если допустим прально подделать то пусть он Вас как админа принимает.. способов море!

Кукисы не пользую, пользую сессии. Идейка хорошая, я думаю они в БД лазить не будут и код смотреть тоже ))

А с Плазой они лажанулись! )))

Мда... Не догадался в адресе написать=) А пароль и правда хороший=) Мне понравился)