Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ошибки... 09.03.05 10:47 Число просмотров: 1200
Автор: paganoid Статус: Member
|
> > > Спасибо за помощь! ;) Ещё есть замечания?
> >
> > скоро совсем тебе там все развалю хыхы
> Только рад буду :). Честно, - чем больше ошибок Вы
> находите, тем для форума лучше ;).
мне, конечно, лестно что ты меня прям так на "Вы", но не настолько
уж я и нагадил, чтоб от меня такую дистанцию держать ;))
>
> > Ну еще имеет место быть посылка сообщений от чужого
> имени (
> > {input type=hidden name=uname value=test1>}меняешь
> и
> > ура), XSS там же , лечение - не использовать hidden
> поля.
>
> Исправил.
Зер гуд
>
> > javascript ссылки в "адрес сайта", лечение - разбор
> урлы,
> > отсечение схем кроме http
>
> Чего не надо допускать в ссылке, чтобы обезопасить её от
> javascript?
давать начинаться только с http:// и урленкодить урленкодить урленкодить урленкодить урленкодить урленкодить
>
> > опечаточка "Колчество сообщений" в кабинете..
>
> Исправил ;).
> Ещё раз спасибо за помощь! ;)
Далее ошибки..
когда выводятся значения полей внутрь input value="" , не ескейпятся html символы. Т.ч ввести имя к примеру в личном кабинете >>Василий "бронебойный"<< не удается. Т.е. удается, но все имя не показывается.
Далее. Urlencode ты по прежнему игнорируешь, со всеми вытекающими. К примеру, завел я узера n0xi0uzz"boom , тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Когда выводятся данные по пользователю, нет урленкода, т.ч. там тож разгул XSS
Он же, урленкод..
имя пользователя test" disabled " - и данные юзера нельзя просмотреть, ибо ссылка задизяблена..
Далее - спуф админского имени - заводишь юзера "n0xi0uzz " (без кавычек) и получается похожий чел.
Юзер с пустым именем (вводишь = и поехали)..
|
|
|
подробно о проекте
Анализ криптографических сетевых...
