Forum PHP.pl > [www] Ocena własnej prostej strony

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [www] Ocena własnej prostej strony

Stron: 1, 2, 3

materkamil

26.07.2012, 11:00:08

Niestety ale ostatnio dobrze znana strona MaterDefense została zablokowana z powodu przeciążenia bazy. Dlatego stworzyłem swój własny skrypt i własną stronę. Wszystko 100% samemu (oprócz loga PHP oczywiście)

Oto adres:
http://webprotection.x10.mx/

Domena i adres jest tymczasowy, nie zwracajcie na to uwagę. Strona jest prosta, bo nie mam talentu graficznego, posiada panel administracyjny, korzysta z bazy danych. Jest parę opcji - dodawanie komentarzy, stronicowanie (gdy wpisów więcej niż 10, itp.

Jak oceniacie wygląd i schemat działania tego skryptu? Czy jest on bezpieczny. Na razie myślę że bez źródła się obejdzie (nie jest to żaden skrypt dobra publicznego ;P)

greycoffey

26.07.2012, 11:08:38

Już po wejściu na stronę widać piękny komunikat, świadczący o tym, że powinineś jeszcze popracować nad tym.

materkamil

26.07.2012, 11:09:08

ojej, tak zabezpieczałem przez SQL Injection że na śmierć zapomniałem o prostym XSS

Edit: htmlspecialchars teraz cię powita kolego/hakerze (nie wiem kto

)

erix

26.07.2012, 11:09:49

Widzę, że ktoś tu nie filtruje treści wprowadzanych przez użytkowników...

XSS na pewno przechodzi.

materkamil

26.07.2012, 11:11:57

teraz już nie, w końcu jestem od bezpieczeństwa

erix

26.07.2012, 11:13:43

A co tu oceniać...? Brutalne, ale to można zrobić dużo lepiej stawiając jakiegoś gotowego CMS-a...

Na Świecie jest tyle problemów do rozwiązania, a Ty robisz coś, co nawet przyjaznych URL-i nie używa...

materkamil

26.07.2012, 11:16:04

Przykładowo dzięki wam przypomniałem sobie o sprawdzaniu długości nicku

Można robić gotowcami, ale liczy się tylko PHP i notatnik

Evinek

26.07.2012, 11:19:43

http://webprotection.x10.mx/index.php?id=0
http://webprotection.x10.mx/index.php?id=-1

http://webprotection.x10.mx/index.php?page=0 - ładują się newsy - tak powinno być?

Tylko to znalazłem póki co.
Z wyglądu to podoba mi się tylko menu górne - reszta ble.

erix

26.07.2012, 11:36:21

Cytat

Można robić gotowcami, ale liczy się tylko PHP i notatnik

Zależy, czy chcesz siedzieć ciągle przed komputerem, czy posiedzieć chwilę i mieć czas na coś innego. [;

Kiedyś była różnica, teraz rzadko kiedy.

Polecam lekturę przyklejonego wątku nt. bezpieczeństwa.

materkamil

26.07.2012, 11:53:07

Paradoksalnie jest to własnie strona poświęcona tematyce bezpieczeństwa. Nie mogę sobie wybaczyć tego XSSa

Jak mogłem tego nie zauważyć

!*!

26.07.2012, 13:45:23

Cytat(materkamil @ 26.07.2012, 12:53:07 )

Paradoksalnie jest to własnie strona poświęcona tematyce bezpieczeństwa. Nie mogę sobie wybaczyć tego XSSa

Jak mogłem tego nie zauważyć

Znowu śmiesz żartować? Strona leży. Nadal niczego się nie nauczyłeś.

redeemer

26.07.2012, 13:55:23

Brzydko panowie zrobiliście, że mu zapchaliście konto.

Do autora:
Fajnie, że się uczysz i widać jakiś postęp, ale nie uważasz, że mając dosyć małe pojęcie o bezpieczeństwie robienie strony poświęconej temu tematowi jest trochę, ekhm... nie na miejscu? To tak jakbym zrobił stronę o tym jak jeździć na koniach, a jedyną moją przygodą był przejazd na kucyku pod namiotem cyrkowym 20 lat temu.

materkamil

26.07.2012, 14:03:18

Hmm. Przychodzę a tam komunikat. Wydaje mi się że ktoś się zapingował i wyszedł z tego jeden wielki.. Denial of Service

redeemer

26.07.2012, 14:09:41

Zapingował? Musiałby tym pingiem cały lotus.x10hosting.com (tak, na tym serwerze stoi twój skrypt) uwalić, a komunikat i tak by się nie pojawił. Komunikat tyczył się za dużego wykorzystania zasobów serwera przez TWÓJ skrypt. Widocznie strona cieszyła się po prostu bardzo dużym zainteresowaniem

materkamil

26.07.2012, 14:13:14

Prawdopodobnie blokada jest z jednej przyczyny. Ktoś rozpracował mój system zabezpieczeń komentarzy przed spamem i niechcący się zablokowało. O tym więcej nie powiem... Poczekamy aż odblokują - godzinę

erix

26.07.2012, 14:22:23

Cytat

niechcący się zablokowało

Niechcący? Braku zabezpieczeń nie nazwałbym "niechcący"...

Cytat

O tym więcej nie powiem...

A jest o czym?

Przeczytaj choć przyklejony wątek nt. bezpieczeństwa aplikacji.

materkamil

26.07.2012, 14:24:14

No dobra, już mówię. Z jednego IP nie wyślesz więcej niż 1 komentarza. No to ktoś zaczął kombinować z proxy, nabijał wejścia i zablokowało

!*!

26.07.2012, 14:33:40

Cytat(materkamil)

Ktoś rozpracował mój system zabezpieczeń komentarzy przed spamem

Skoro to zrobił to znaczy że nie było żadnych zabezpieczeń.

Cytat

No dobra, już mówię. Z jednego IP nie wyślesz więcej niż 1 komentarza. No to ktoś zaczął kombinować z proxy, nabijał wejścia i zablokowało

Jakby stworzyć listę bzdur jakie piszesz w kodzie, można by pokonać nonsensopedie.

A co z sieciami osiedlowymi, wifi? Mają te same IP czasami więcej niż 10 maszyn, a co dopiero 1.

materkamil

26.07.2012, 14:54:38

Cytat(!*! @ 26.07.2012, 15:33:40 )

A co z sieciami osiedlowymi, wifi? Mają te same IP czasami więcej niż 10 maszyn, a co dopiero 1.

Jest na to sposób. Zwykle odpowiadam na każdy komentarz szybko więc jeśli ktoś chce coś napisać - napisze. Blokada polega na tym, że bez mojej odpowiedzi nie możesz napisać nic więcej z jednego IP. A jak już mówiłem - odpowiadam zawsze i szybko

!*!

26.07.2012, 14:57:05

Cytat(materkamil @ 26.07.2012, 15:54:38 )

Blokada polega na tym, że bez mojej odpowiedzi nie możesz napisać nic więcej z jednego IP. A jak już mówiłem - odpowiadam zawsze i szybko

To jak to możliwe że strona leży, skoro to TY musiałeś pierw odpowiedzieć. Zresztą, pomysł jak widać do obejścia i poroniony, bo niby dlaczego to TY masz odpowiedzieć, a nie Kowalski.

materkamil

26.07.2012, 15:03:00

Kowalski też może odpowiedzieć. Byle adresy IP się nie zgadzały. Dodam że strona filtruje IP jak i ciasteczka. O 16:00 strona będzie działać

!*!

26.07.2012, 15:05:33

Skoro Kowalski pisze komcia, i da link do Nowka z klatki, to ten nic już nie będzie mógł napisać.

materkamil

26.07.2012, 15:10:47

Teoretycznie tak, ale w praktyce:
1. Większość ludzi ma IP zewnętrzne
2. Większość ludzi ma również zmienne
3. Ja szybko odpowiadam
4. Na 40 mln polaków i te 4 tys odwiedzin (materdefense) nie ma szans żeby ktoś z nich mieszkał w tym samym bloku

~~Strona już działa Kto nie widział niech patrzy~~

Edit: <s> o 17:00 zobaczycie stronę z piękną captchą

!*!

26.07.2012, 15:13:11

Cytat

Resource Limit Hit!

Chyba nie bardzo działa...

Cytat

1. nie powinno Cie obchodzić co ma większość ludzi
2. patrz punkt 1
3. bzdura, w nocy też? masz dyżur 24h? A co z konwersacją, odpowiadaniem na komentarze, cytowaniem itd.
4. patrz punkt 1.

qrooel

26.07.2012, 16:44:12

Ładne kolory.

materkamil

26.07.2012, 17:12:24

Spokojnie, wieczorem już strona będzie działała na moim lokalnym komputerze. Będzie to szło po IP.

darko

26.07.2012, 17:35:26

Z tego, co widzę - pod każdym względem jest znaczny postęp od ostatnio prezentowanego projektu. Jest grubo po 17, żeby nie napisać, że 18:33 - nadal nie ma możliwości dodawania komentarzy na stronie. Powiedz tylko - dlaczego się tak uparłeś na tematykę bezpieczeństwa? Już tyle błędów Ci wytknięto, udowadniając Ci, że o bezpieczeństwie nie masz za bardzo pojęcia, a to akurat jest zagadnienie wymagające bardzo dużej wiedzy i ogromnego doświadczenia. Pozdrawiam, życzę dalszego rozwoju i nie przejmuj się za bardzo kąśliwymi komentarzami starszych wyjadaczy forumowych.

Shido

26.07.2012, 23:32:41

Cytat(materkamil @ 26.07.2012, 16:10:47 )

1. Wszyscy mają z internetem mają zewnętrzne IP tylko że niektórzy mają wspólne takie samo Ip (np. Osiedlówki)
2. Skoro twierdzisz że większość ma zmienne IP to jaki sens ma zabezpieczanie w ten sposób skryptu? Są to 2 kliknięcia i ma się nowy adres.
3. 24h na dobe, 7 dni w tygodniu 365 dni w roku? W takim razie w ciągu pół godziny odpowiedz na ten post

4. Znam przynajmniej 3 stronki na których aktywnie działają cale grupy osób o takich samych IP (to samo osiedle) i by nie było większość trafa tam przypadkowo, a nie zaproszony przez sąsiada.

Blokowanie IP ma sęs jedynie przy dawaniu perm bana, jak się trafi ktoś z zewnętrz to wystarczy nałorzyć filtr i po problemie,ale dawać psełdo bana tylko za to że ktoś kto był wcześniej miał takie samo IP to zły pomysł.
Dobra rada zamiast IP sprawdzaj sesję, gdzie trzymaj informacje że w tej sesji już ktoś napisał komentarz. Dzięki temuinie zablokuje się gocałkowicie, bo po pewnym czasie (po krórym spamer da sobie siana) znöw user będzie mógł cośskomentować.

viking

27.07.2012, 06:52:10

Do obrony przed spamem użyj raczej http://sblam.com/. A np ja mam zmienny IP ale po zakupie routera zmienia mi się już tylko gdy ten wymaga hard restartu. Wcześniej co uruchomienie komputera. Jeden komentarz też jest śmieszny bo co jak będę chciał udzielić się w kilku artykułach? Jedno IP zewnętrzne w dużych sieciach kablowych może mieć całkiem spora liczba użytkowników. Też uważam że zabrałeś się za temat chociaż jeszcze dużo wody w Wiśle upłynie nim będziesz w stanie pisać o bezpieczeństwie.

materkamil

27.07.2012, 09:16:25

Wszystko zabezpieczone. Wczoraj dodałem własną captchę i zabezpieczyłem komentarze. Adres strony jest nowy, nie ma co patrzyć na starą. Podam go za chwile edytując post, bo to na moim localhoście siedzi

Edit: adres: http://94.251.191.53/

redeemer

27.07.2012, 09:32:32

Cytat(materkamil @ 27.07.2012, 10:16:25 )

Mam nadzieję, że postawiłeś jakiś honeypot na jakiejś virtualce... A Twoja captcha mnie rozwaliła

erix

27.07.2012, 09:45:03

Cytat

A Twoja captcha mnie rozwaliła

~materkamil, uzupełnij swoją wiedzę, potem pisz o bezpieczeństwie, bo jeszcze - nie daj Boże - ktoś przeczyta...

Jak nie potrafisz jeździć samochodem, to się nie siada za kierownicę, a nie wsiadasz i wciskasz wszystkie pedały po kolei, bo a nuż pojedzie i się nie rozbije.

Takie CAPTCHA, to można rozwalić w kilka minut. Zresztą, co tu rozwalać?

webmaniak

27.07.2012, 09:48:50

Normalnie jedynie przeglądam takie oceny, ale teraz postanowiłem napisać...
Znowu będzie z 10 stron, bo jedni będą wytykali błędy, a autor nadal nie będzie brał tego pod uwagę.
materkamil:
Następna sprawa to:
http://94.251.191.53/admin/
Wywal filmik o zabezpieczeniu dostępu do panelu admina. Pokazujesz tam żeby nie trzymać panelu admina w folderze admin/administrator, a ... sam to robisz. Dla mnie to lekka hipokryzja... bo sam nie zabezpieczasz się przed tym a komuś pokazujesz. Mogę mieć zatem 2 szybkie wnioski:
1. Albo masz super zabezpieczenia, jednak po tym temacie widać że nie
2. Albo ten filmik nie ma sensu, bo nie ma zagrożenia, które w nim omawiasz.
Reasumując:
poświęć jeszcze więcej czasu na zrobienie jednej rzeczy porządnie- ale naprawdę porzadnie, kilka dni to za mało-chyba że jesteś wirtuozem programowania

. Sprawdzaj później to co zrobiłeś. bo w tym MaterCMS nie było żadnej walidacji formularzy-żadnej!!!! Teraz widzę że ktoś Ci to wytknął na tej stronce co teraz masz. Nie wystarczy tylko napisać i pokazać to co się zrobiło, trzeba sprawdzić, wtedy nie będziesz musiał się tłumaczyć że Twoja strona jest podatna na różne ataki.

!*!

27.07.2012, 09:51:25

Kod

A Twoja captcha mnie rozwaliła

Mnie też, szczególnie to że nie działa

Cytat

8a5 8a7 7a3 1a4 5a0 9a0 9a6 9a3 3a5 1a4

Od razu podpowiem że nawet jak umieścisz to jako obrazek, to i tak łatwo będzie to odczytać.

materkamil

27.07.2012, 09:58:22

Wszystko pięknie działa. Do tego jest akceptacja komentarzy.

http://fotoo.pl//out.php/i321145_bezantytu...d54333739333736

Screen z panelu akceptacji komentarzy. Jakoś spamu nie ma

!*!

27.07.2012, 09:59:27

Jak zawsze wyśmienity link http://fotoo.pl/skin/default/sys_icons/NoHotlink.jpg i strona Ci padła

materkamil

27.07.2012, 10:09:48

Strona działa. Chwilowy problem z prądem
http://94.251.191.53/a.png

mikolaj51

27.07.2012, 10:27:09

Strona jest bardzo bezpieczna, pomijając fakt, iż można przeglądać kod php

[PHP] pobierz, plaintext 
<br>
<?php
isset($_GET['strona']) && !is_array($_GET['strona']) ? $str = $_GET['strona']*10 : $str=0;
include_once('db.php');
$db->exec('SET NAMES utf8');
$q = 'SELECT * FROM newsy where stan=\'OP\' ORDER BY id DESC LIMIT '.mysql_escape_string($str).',10';
$w = 'SELECT count(id) from newsy';
$newsy = $db->query($q);
 
$ile = $db->query($w);
foreach($newsy as $wynik) {
	echo('<div id="newskolor"><a class="news" href="index.php?id='.$wynik['id'].'">'.$wynik['tytul'].'</a></div><div id="news">'.$wynik['poczatek'].'<br><small><i>Dodano przez: <b>'.$wynik['nick'].'</b> | '.$wynik['data'].'</i></small></div><br>');
}
foreach($ile as $liczba) {
}
 
if($str==0 && $liczba[0]<10) {
 
}
elseif($str+10 < $liczba[0]) 
{
	$str = $str/10+1;
	$str2 = $str-2;
	if($str>1) {
	echo('<a href="index.php?strona='.$str2.'"><-- Poprzednia strona></a>   <a href="index.php?strona='.$str.'">NastÄpna strona --></a>'); }
	else
	{
	echo('<a href="index.php?strona='.$str.'">NastÄpna strona --></a>');
	}
	}
 
?>
[PHP] pobierz, plaintext

Edit:

Cytat

(...) korzysta z bazy danych

A to to jest baza danych?

http://94.251.191.53/stronyqwerty123/projekty.txt
http://94.251.191.53/stronyqwerty123/autor.txt
http://94.251.191.53/stronyqwerty123/bezpieczenstwo.txt
itd.

qrooel

27.07.2012, 10:30:44

Rany Boskie, ale sieczka, weź Pan użyj jakieś MVC. ;P

erix

27.07.2012, 10:37:30

Cytując klasyka: http://forum.php.pl/index.php?s=&showt...st&p=980841

!*!

27.07.2012, 10:40:25

Cytat(qrooel @ 27.07.2012, 11:30:44 )

Rany Boskie, ale sieczka, weź Pan użyj jakieś MVC. ;P

Myślisz że ktoś kto prowadzi stronę o zabezpieczeniach, twierdzi że umie PHP, używa baz danych która wygląda jak plik txt i pisze forum które jest obiektowe na strukturach będzie na tyle zdolny, aby dowiedzieć się jak używać MVC?

mikolaj51 - że Ci się chciało

erix

27.07.2012, 10:48:48

Dobra, bo się off-topic robi - jakieś sugestie dla niego macie, które się nie tyczą ocenianej strony - PW do autora

materkamil

27.07.2012, 15:02:22

Wszystko naprawione, cudem udało mu się zgadnąć nazwę katalogu

Substr

27.07.2012, 16:30:46

Wydaje mi się, że nie cudem.. przecież istnieją skanery i nawet jeśli nazwa katalogu będzie '12hbdscuhdcjsn' to odgadnięcie jej jest tylko kwestią czasu.

ciekawskiii

28.07.2012, 12:04:03

Pisalem, ze bedzie niedlugo kolejny projekt i jest!

Kamil Ty mnie normalnie rozwalasz

toaspzoo

28.07.2012, 12:19:03

Cytat(materkamil @ 26.07.2012, 15:54:38 )

A ktoś je w ogóle pisze ?

Cytat

Cytat

Ciasteczko skasowało, lecz mu się nie udało, komentarza tu dodać

Wysłałeś już komentarz!

To ma być żart ?
Nic nie kasowałem a strona, tym bardziej jej "funkcjonalność" leży, a właściwie jej nie ma...

Co tu oceniać ? Layout ? Skoro nic na niej nie ma ?

materkamil

28.07.2012, 12:31:18

Localhost okazuje się niewypałem. Zaraz będzie na webd.pl -> i będzie to finalny projekt z moją captchą, bezpieczny i w pełni gotowy

!*!

28.07.2012, 12:40:22

Cytat(materkamil @ 28.07.2012, 13:31:18 )

będzie to finalny projekt z moją captchą, bezpieczny i w pełni gotowy

Znowu?

Moderatorów prosiłbym o przeniesienie do działu HP.

materkamil

30.07.2012, 09:25:07

Chciałbym tylko dodać link do finalnego już projektu:
http://webprotection.xaa.pl/

Poprzednie linki nie działają lub są już stare.

!*!

30.07.2012, 09:31:44

[HTML] pobierz, plaintext 
Przepisz podany tekst: 
<img src="captcha/3.png"/>
<img src="captcha/a.png"/>
<img src="captcha/1.png"/>
[HTML] pobierz, plaintext

Rozwalasz mnie, co kod/pomysł to lepszy

równie dobrze mógłbyś zostawić tamten tekst. I dlaczego myślisz że te obrazki to jakieś zabezpieczenie? Prosty skrypt w php je odczyta, a co dopiero zaawansowane narzędzia.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.