Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> проверка моего сайта на пхп, тест на защищенность 
:(
    Опции темы
СЭНСЭЙ
Дата 31.8.2013, 12:49 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 432
Регистрация: 20.3.2006

Репутация: нет
Всего: нет



Всем привет.
Написал такой сайт setin.ho.ua
Никакие фреймфорки не использовал.
Все писал вручную.
Хочу протестировать его на "дырявость".
Помогите пожалуйста найти дырки.
PM MAIL   Вверх
Sanchezzz
Дата 31.8.2013, 15:25 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1670
Регистрация: 19.11.2006
Где: Voronezh

Репутация: 41
Всего: 60



Дырки есть, исправляйте пока не появилось соблазм..  smile 

Это сообщение отредактировал(а) Sanchezzz - 31.8.2013, 15:25


--------------------
Понравился ответ "+" по репе, не забываем закрывать тему, заказы в LS.
PM MAIL Skype GTalk   Вверх
СЭНСЭЙ
Дата 1.9.2013, 11:49 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 432
Регистрация: 20.3.2006

Репутация: нет
Всего: нет



Расскажите про дырки. Сайт все равно на временном хостинге.
PM MAIL   Вверх
ksnk
Дата 1.9.2013, 12:34 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386



Таблица goods удалилась? 


--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
Sanchezzz
Дата 1.9.2013, 13:03 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1670
Регистрация: 19.11.2006
Где: Voronezh

Репутация: 41
Всего: 60



Дырки в запросах.
Мне не понятно зачем числовой ID искать через like?  smile 

Прочитайте на досуге о prepared statement в PDO или MYSQli от Sql-injection
Про xss тоже
Информация не закрытая и легко гуглится. 

Это сообщение отредактировал(а) Sanchezzz - 8.12.2013, 20:29


--------------------
Понравился ответ "+" по репе, не забываем закрывать тему, заказы в LS.
PM MAIL Skype GTalk   Вверх
СЭНСЭЙ
Дата 2.9.2013, 01:34 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 432
Регистрация: 20.3.2006

Репутация: нет
Всего: нет



Таблица goods не удалилась. Я не помню какие там были товары. Кажется их стало меньше но не уверен.
Через like подставлять ID - старая привычка. Что бы можно было подставить %
Я знаю про инъекции, но у меня лично не получилось их применить. ПХП не пропускает больше одного запроса к базе за один раз.
с xss тоже ничего не получилось.
statement в PDO вообще не понял как можно применить.
PM MAIL   Вверх
ksnk
Дата 2.9.2013, 07:39 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386



Цитата(СЭНСЭЙ @  2.9.2013,  01:34 Найти цитируемый пост)
Я знаю про инъекции, но у меня лично не получилось их применить. 

Там ошибки валятся, сейчас все дорабатывается, или доломалось? 

Может сначада исследовать как и каким образом товары "пропали"?
 Дамп базы есть? Сравнить и проверить разрушения.
 Лог доступа (access.log) к сайту есть? Посмотреть и проверить странные GET'ы


--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
СЭНСЭЙ
Дата 2.9.2013, 11:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 432
Регистрация: 20.3.2006

Репутация: нет
Всего: нет



Я ошибок не заметил. Основная часть работает как и задумано.
файл access.log не ведется
Товары не удалились.
PM MAIL   Вверх
СЭНСЭЙ
Дата 2.9.2013, 12:02 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 432
Регистрация: 20.3.2006

Репутация: нет
Всего: нет



включил access.log на хостинге
PM MAIL   Вверх
AldarKose
Дата 2.9.2013, 17:05 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 4
Регистрация: 2.9.2013

Репутация: нет
Всего: нет



Аффтар, орфографию проверь. Чего только стоят "Поднятся", "Вещ", "Какая то"...
PM MAIL   Вверх
TPETb
Дата 6.9.2013, 00:42 (ссылка)   | (голосов:2) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 7
Регистрация: 5.8.2011

Репутация: нет
Всего: нет



я конечно понимаю, что тема была "проверьте на уязвимости", но не могу не заметить

1. вам первый же SEO-шник скажет "иди в **** с твоим сайтом" потому что:
1.1. статичный title
1.2. отсутствуют ЧПУ
1.3. битые ссылки никак не обрабатываются
2. контент менеджер скажет "иди в **** со своим сайтом" потому что скорее всего нормального интерфейса для управления содержимым у вас нет (но тут не буду утверждать, может у вас реально админка есть где-то спрятана)
3. заказчик вам скажет "иди в **** со своим сайтом" потому что предыдущие два человека уже это сказали (если только вы сами не являетесь заказчиком)

я бы еще мог рассказать что скажет посетитель, но, думаю, лейт-мотив вы уловили.

это все к чему сказано. ни в коем случае не для того чтобы вас оскорбить, но вы просто потеряли время на изобретение велосипеда с квадратными колесами из ваты, хотя могли бы для начала изучить матчасть. пожалуйста, больше так не делайте. возьмите PrestaShop если вам хочется посмотреть как должны работать магазины, возьмите Wolf CMS если хотите посмотреть, как должен работать сайт как сущность. обе системы достаточно просты для понимания. даже не написав ни единой строчки кода, но почитав чужой хороший код, вы получите куда больше, чем если просто будете писать лишь бы писать.
PM MAIL   Вверх
СЭНСЭЙ
Дата 8.12.2013, 16:44 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 432
Регистрация: 20.3.2006

Репутация: нет
Всего: нет



Спасибо. Это был мой ПЕРВЫЙ функциональный сайт на пхп. ПЕРВЫЙ. И заказчик им до сих пор пользуется. Да есть недостатки, но свои функции он выполняет.
И что не маловажно размер кода сайта в десятки/сотни раз меньше чем у раскрученных бесплатных движков и ЦМС. Это же косается и времени отрабатывания кода на сервере.
Благодаря работе над этим сайтом я быстро освоил пхп. И сейчас работаю на крупную компанию. Как вы правильно заметили я поднял тему мифов об уязвимости сайтов, а не проверки орфографии и СЕО. Да на сайте есть админка, было бы странно если бы у динамического сайта ее небыло.
Надеюсь вам стало легче после того как вы высказались не по теме.

PM MAIL   Вверх
Sanchezzz
Дата 8.12.2013, 20:30 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1670
Регистрация: 19.11.2006
Где: Voronezh

Репутация: 41
Всего: 60



СЭНСЭЙ, Поздравляю так держать.


--------------------
Понравился ответ "+" по репе, не забываем закрывать тему, заказы в LS.
PM MAIL Skype GTalk   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.

 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »


 




[ Время генерации скрипта: 0.0795 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.