Deadline oddania mojego licencjatu jest za jakiś miesiąc. Kilka dni temu skończyłem robić część praktyczną.
Tematem mojej pracy jest: Stworzenie systemu informatycznego "Wirtualna Biblioteka".
Tematem przewodnim jest bezpieczeństwo. Byłbym wdzięczny gdybyście mogli sprawdzić podatność na ataki moją WB . Oczywiście uważam, że wszystko jest zabezpieczone, jednak nie wykluczam że gdzieś coś mogłem przeoczyć.

link: http://shpyo.net/cms
login: admin
pass: haslo

Byłbym wdzięczny, gdyby nikt nie zmieniał tych danych, wtedy kolejne osoby niemogły zobaczyć wnętrza.
Za uwagi "thank you from mountian"

A ha. Odrazu mówię, że upload obrazków nie działa. Tzn. działa, ale są problemy techniczne z php, przy uploadzie ustawiania zły CHMOD, a gdy chcę zmienić go na 644 to zmienia na 211 :/. Sprawa zgłoszona do admina i jest w toku.

Jedyne co mi się nie podoba, to lista autorów Powinno być pole na wpisanie, bo po jakimś czasie będzie strasznie dużo autorów

Ładnie
Troche z kodowaniem są problemy w kilku miejscach.
Fajnie było by gdyby dało się kliknąć na całe pole które się zaznacza jak się najedzie na książkę, a nie tylko na tekst czy obrazek
A po co używaż advAjaxa i Prototypa? Przecież w prototypie są funkcje do obsługi AJAX'a.
A co będzie jak będzie dużo działów? Bo na str głównej jest poziome menu. czy zmieszczą się wszystkie? Chyba że projekt nie ma tego uwzględniać co będzie w przyszłości.
Tak samo z kategoria>książka troszke duża ta czcionka przy długaśnym tytule może być nie ciekawie.

Ale ogólnie to mi się podoba.
Pracuj dalej

Dzięki za uwagi.
Gdybym chciał zrobić z tego porządny projekt to zabrakłoby mnie czasu. Promotor sam powiedział, że to tylko licencjat. Nie ma sensu robić wypasionej wersji, bo może być tak że w magisterce będę chciał to rozbudować. Jak teraz wszystko zrobię to nie będę miał czego robić w magisterce .

Głównie skupiałem się na zabezpieczeniu tego - ze względu na tematykę seminarium. Nie miałem stricte określonych warunków co do funkcjonalności.

Z tymi autorami to rzeczywiście nie najlepsze wyjście . Za mało czasu miałem, aby to jakoś sensownie zaprojektować

shpyo

http://shpyo.net/cms/admin.php?goto=users%.../)%3C/script%3E

kliknij sobie Fakt trzeba być zalogowanym

<piwo>
Załatane
Będę musiał poprawić to w innych miejscach i serwisach

Taka ciekawostka: w wielu firmach/serwisach jeżeli znajdzie się taki błąd w "szczególnych okolicznościach" jest olewany

* pozwala na dodanie kilku takich samych jezykow, nawet o roznych nazwach i takich samych skrotach; i nie waliduje formularzy (wyslalem pusty i dodalo)
* kategorie sksiazek: tak samo (pewnie inne obiekty tez)

OT:
*
A nie lepiej zrobic czytelne ikonki, ew. z podpisem?

* znikajace komunikaty: a jak nie zdaze ich przeczytac, albo zmienie w miedzyczasie strone i pozniej do niej powroce?

http://shpyo.net/cms/admin.php?goto=users&...er&id='
http://shpyo.net/cms/admin.php?goto=lang <- h1

Fatal error: Call to undefined function: pobierzid() in /home/platne/shpyo/public_html/cms/classes/users.php on line 59

jako edytor moge modyfikowac konta innych :|

kazik@kazik.pl -> Rejestracja powiodła się: Niepoprawny adres e-mail!

//@down: mam klona?

Jak sie zalogujesz to możesz usunąć wszystkich userow jednym linkiem:

http://shpyo.net/cms/admin.php?goto=users&...%20'%%'

Nie odporne na ataki SQL.

Hmmmm nie idzie sie zalogować.
Wiec idzie usuwać główne konto??
=============================
Idzie dodawać w zmiennych HTML i JAVE wejdź sobie w panelu admina w zakładkę JEZYK.
Filtrowanie zmiennych
Logowanie na głównej stronie obojętne jak wpisze login dużymi czy małymi literami jest dla systemu Tak ma być

usuniecie wszystkich uzytkownikow z systemu przewaznie tak wyglada

To już wiem, kto jest odpowiedzialny za moją wpadkę na dzisiejszej prezentacji części praktycznej . Przynajmniej promotor mógł zobaczyć czym może grozić złe zabezpieczenie aplikacji WWW

Ja nie bardzo moge sie zalogowac na admin i haslo

bo jak wcześniej ktoś pokazał da sie wykonać sql injection i dzieki temu usunął wszystkich userów :] trzeba poczekać az shpyo utworzy takiego usera

edit: już poprawiłem ksywke nast. razem bede kopiował

Właśnie siedzę sobie na uczelni i łatam skrypt ^^,
Powoli wszystko wraca do normy - co najważniejsze, można się znowu logować na admina. Pozabezpieczałem formularze, waliduję je (chyba nawet wszystkie) jak również zmienne przesyłane GETem.
@kwiateusz: nie ma takiego użytkownika "sypho"

Dzięki wszystkim za pomoc

Menu na stronie głównej

shpyo: nastepnym razem nie dawaj tutaj tej samej instancji systemu, ktora masz prezentowac (wiesz czemu). To tez sa wzgledy bezpieczenstwa

PS

A ja zawsze przekrecalem na 'shypo' (przynajmniej dalo sie wymowic)

@athabus: widać jakiś "mundry" musiał poprawić "błąd"
@dr_bonzo: Raczej nie będę tutaj już prezentował paneli administracyjnych, prędzej jakieś ciekawe serwisy. (ad ps. nie wiem dlaczego, ale większość przekręca mojego nicka )

co do nicka: jak sie szybko tylko na niego spojrzy to sie zle przeczyta, szczegolnie ze jest trudny do wymowienia/zapamietania


1. Przeciez wystarczy zainstalowac system w dwoch miejscach/dwoch bazach i po klopocie
2. Zobacz kto ci bledy znalazl