Witam!

O godzinie 20:00 proszę adminów o obserwację planety, w delikatny sposób pokaże jej brak zabezpieczeń.

Pozdrawiam

Ciekawe czy zarząd na 20:01 zamówił ci wizytę smerfów do domu :D:D

`mały` brak zabezpieczeń, może ktoś do tego czasu zareaguje i poprawi to ;P

A ja wątpię, że pokażesz jakikolwiek brak zabezpieczeń. Mało tego, nawet wiem dokładnie o czym mówisz

No i jest

Co "jest"? Ja tam tylko jakiś wpis widzę o bezpieczeństwie, jeśli chodzi o zmiany propo ostatnich 5 minut. A co on ma do bezpieczeństwa planety? Czy przypadkiem nie została wykonana akcja normalna dla niej? Dodano wpis i się pojawił na stronie

@pyro, logo.

P.S. Włączcie JS

Aha... ja miałem wyłączone JS. Teraz widzę

// edit

Swoją drogą dosyć żmudne/tandetne zaniedbanie ze strony twórców planety. Może po alkoholu

Może by tak filtrowanie tagów ?

Bywa .

Ten kod jest tak stary że pamięta czasy PHP4 albo i 3
Pierwotnie dodawane były tam blogi tylko osób z dev.php.pl i irc.php.pl stąd taka tolerancja.

Ale faktycznie problem jest, dziękuje za zwrócenie uwagi, nakładka dość restrykcyjna już jest.


@wlamywacz: Fajnie że pokazujesz że są takie 'rzeczy', tylko na początku mogłeś to zrobić w jakiś bardziej dyskretny sposób, by było milej - tak czy siak dziękujemy.

Nadal źle, czemu usuwacie tagi linków itd ? Zróbcie wyjątki w striptags itd...

script_tags nie wystarczy, script nam usunie ale nie:

[HTML] pobierz, plaintext 
<p onload="alert(1)">Ble</p>
[HTML] pobierz, plaintext 

Teraz ustawione są filtry na każde pole włącznie z loginem, ograniczona ilość tagów html i tylko parę atrybutów można ustawić, reszta obcinana.

To się nazywa "rozdmuchiwanie ego"

A kod trzeba aktualizować. Nie wiedziałeś o tym?

// ADD



A ile to jest zrobienie prawdłowej nakładki do tego? Minuta? Dwie?

// ADD

Zwłaszcza, że teraz zepsuliście tagi do wiadomości. Wszędzie się pojawia "sTag"

Developer który wymyślił te usługę i ją prowadził już od lat nie piszę w PHP. Ale jeżeli chciałbyś zaopiekować się to usługa to daj znać, tylko najłatwiej będzie ją przepisać od nowa.



Sama poprawka to 2 minuty, ale znalezienie gdzie ją wstawić to już inna bajka, no chyba ze ob_start() simplexml i poprawić już samo wyjście. ;-)
Koniec końców nawet szybko została poprawiona


Dzięki, przeoczyłem - poprawione

Chętnie się tą usługą zaopiekuje po godzinach.

W banku, czy sklepie internetowym od tak się nie porzuca ich stron. Co prawda wortal nie należy do żadnych z dwóch wyżej wymenionych, ale chyba należało komuś przypisać tę część portalu. Zwłaszcza, że za wiele to tam do robienia nie ma


Zaopiekować i przepisać to dwie różne rzeczy



Ta informacja mówi tylko, że należało znaleźć kogoś innego do napisania tego niż ten, kto to zrobił. Lub poprosić o czytelniejszy, obkomentowany kod.




Nie ma sprawy

powie ktoś, co dokładniej się działo? bo fajerwerki mnie ominęły

Zaopiekować czyli wziąć się do roboty, nie widzę problemu przepisać

HaCk3d!!! Nieźle, dzięki za pomoc w zabezpieczeniu

Po co przepisywać? Ten kod działa, po naprawieniu paru błędów jest całkiem ok. Jedyne problemy jakie sprawia, to niekiedy coś się zawiesza i wpisy się późno rejestrują. Z tym już też chyba kwiateusz walczył.

`atak` chyba nie był zbyt groźny, a miał jedynie pokazać bardzo realne zagrożenie.

Ok, kolejny błąd, który można wykorzystać lepiej i podenerwować czytających planete ;p Znów logo ;p

To było bardziej zgłoszenie niż atak, chociaż taki dało się 'przeprowadzić'.


Wyleciało id, class, style

Od kiedy zgłaszanie błędów polega na ich prezentowaniu? Chcesz kogoś ośmieszyć? Udowodnić komuś coś? Zastanów się następnym razem nad konsekwencjami.

odkad pamietam najpierw pisalo sie do Adminow ze jest dziura ...
brak reakcji moglo skutkowac "prezentacja" - choc sama prezentacja jest juz niezgodna z prawem.
Inna forma na brak reakcji adminow to opublikowanie luki ....

ale ktos mial ochote poszpanowac i pokazac jakim jest HaCkeReM.

to moja osobista opinia.
Za pokazanie bledow dziekujemy i prosimy o wczesniejsze je zgloszenie a nie pokazywanie.
Napewno podziekowanie z naszej strony bylo by w lepszej formie.

Pozdrawiam

Podziękowanie byłoby w formie pieniężnej a tak to dupa

ps. skojarzyło mi sie to z wpisem z niebiezpiecznika o nagrodzie jaka dostal koles co znalazl blad w gg

Jak bym robił to dla kasy to był wrzucił swoje reklamy google adsense ;P Generalne wysłałem zgłoszenie o możliwym błędzie.

a to ciekawe, bo nie słyszałem jeszcze, żeby ktoś dostał za to kasę od google