Skontrolovanie bezpečosti stránky

.:M4jco:.

Zdravím

Konečne som dokončil svoj prvý mini blog ktorý beži na systéme ktorý som sám vytvoril.
Je to len jednoduchý systém ktorý umožňuje pridavanie článkov, editovanie člankov, registraciu uživatelov, prihlasenie, komentáre a podobne.
Do bezpečnosti sa moc nevyznám a tak by som bol rád keby sa niekto zručejší na to pozrie a povie mi v čom mám medzery a v čom bola chyba ktorú ste našli.
Budem vám velmi vďačný. Systém aj tak neplánujem vydať medzi ludí. Je to len pre moje potreby a učenie sa.

Ďakujem

Link:

Kód: Vybrať všetko

http://test.m4jco.net/index.php

po zmene nastavení presmeruváva na html ktoré neexistuje a vyhodí 404
link http://test.m4jco.net/uzivatel/% spôsobí bad request (400), mal by si to ošetriť
máš chybu v stránkovaní, na indexe sa dá prejsť na druhú stránku aj keď neobsahuje žiadne novinky

.:M4jco:.

Sorry za obnovenie príspevku ale nechcel som zakladať novú tému.
Systém som za ten čas vylepšil a už to je o dosť schopnejšie

Skúšal som aj skontrolovať bezpečnosť ale nejako som nepochodil, teda lepšie povedané žiadnu chybu som nenašiel

Nebol by tu niekto kto by to skontroloval prosim Vás? (link je rovnaký ako v prvom príspevku)

Ďakujem

je tam viacero chýb, tak v skratke:
1) xss vo vyhľadávaní
2) možnosť csrf v profile (pri zmene hesla požaduj minimálne staré heslo)
3) možnosť brute force uhádnutia hesla (pri logine dávaj captchu alebo zablokovanie prihlásenia z danej ip na niekoľko minút/hodín pri niekoľkých neúspešných prihláseniach v rade)
4) ak používaš login ako si sem kedysi dával tak to smrdí možnosťou sql injection útoku
5) pri komentároch dáva link na najnovšie komentáre s dvoma "clanok" v url: http://test.m4jco.net/clanok/129 a potom nefungujú
6) v archíve nemáš seo linky na články

píšeš tam ako keby to bolo open source cms, ale nikde som sa nedopátral k downloadu. Keby vidím zdroják isto nájdem viac chýb

__construct

Tu máš pár aplikácií, ktoré kontrolujú bezpečnostné diery..
http://www.webresourcesdepot.com/10-fre ... ing-tools/

.:M4jco:.

audio: body 2,3,4,5,6 som opravil, a bod 1 som tiež skúsil zabezpečiť, no neviem či správne kedže xss som tam nenachádzal ani predtym

a ešte jedna otázka, ako to spravil ten uživatel čo mi písal do komentáru pod menom test, ale avatar, bydlisko a všetko ostatné bolo akoby z mojho admin účtu. To nechápem, skúšal som skontrolovať všetko ale neprišiel som na to a venoval som tomu celkom dosť času :-/ a dalo by sa teoreticky týmto spôsobom aj dostať do administrácie? Díky

test bol môj účet ktorý som si tam vytvoril, neviem presne čo myslíš. Chybu ti nemám ako pomôcť odhaliť keď neviem ako ti to tam funguje.
k tomu xss: skús dať hľadať <script>alert(1)</script> viem že tam máš obmedzenie dlžky, ale to vôbec nevadí (a vôbec to nie je ošetrenie pred xss)

.:M4jco:.

k tomu učtu: myslím ako si urobil to že si odoslal komentár a zobrazili sa ti tam informácie z mojho profilu. Kedže účet test nemá vyplnené žiadne informácie v profile tak sa chcem spýtať aký druh chyby si využil? Či je to chyba v odosielaní komentárov alebo prihláseni, pretože fakt nemám zdanie ako na to

poprípade si použil doplnok typu tamper data ktorý pred odosielaním formuláru umožňuje zmenu zasielaných udajov?

k tomu xss: idem to skúsiť pozrieť, aj keď teraz som skúšal kód čo si napísal a nefungoval. Skušal som to v rôznych prehliadačoch, či už v IE 6,7 tak aj FF3 a nič. Vstup ošetrujem pomocou strip_tags() a htmlspecialchars() a keď dám vyhľadať akýkoľvek kód tak mi to vypíše

"Pre hladané slovo <script>alert(1)</script> sa našlo 0 výsledkov" ale skript sa nespustí

nie, nerobil som nič, chyba bude na tvojej stránke (ale neviem kde, lebo som nevidel zdroják). Tamper som nepoužíval, a ani som neskúšal žiadne iné veci (v súvislosti s komentármi)

vyhľadávanie vypadá byť opravené, predtým si to neošetroval

Skontrolovanie bezpečosti stránky

Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky

Re: Skontrolovanie bezpečosti stránky