)
_____________
Принимаю заказы, писать в ЛС
Полная Версия: Ув. хакеры, кто возьмётся протестировать сайт.
Проверил DB и файлы, ничего не тронуто, ничего не поломано. Остальное решается модератором (который спал, сейчас всё почистил )
_____________
Принимаю заказы, писать в ЛС
)
_____________
Принимаю заказы, писать в ЛС
чо картинки то нельзя загружать?
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Можно
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
Чё проверять? у тебя реклама на готове запуска с бюджетом 500 к и мало ли что? Или просто от нехер делать создавать темы и писать про херню?
Успокой свой пыл, читай и читай. На все твои вопросики в темах уже весь инет в ответах.
Когда твой сайтик сломают, это же самый кайф разобраться самому. Смотреть логи, искать причину. А чтобы не было жопы - нормальный хостинг с нормальными бекапами.
Видимо ты каждую тему создаешь под баночкой 3-х литрового пива.
Успокой свой пыл, читай и читай. На все твои вопросики в темах уже весь инет в ответах.
Когда твой сайтик сломают, это же самый кайф разобраться самому. Смотреть логи, искать причину. А чтобы не было жопы - нормальный хостинг с нормальными бекапами.
Видимо ты каждую тему создаешь под баночкой 3-х литрового пива.
Медведь
Вроде нормально, картинку проверяет, трансформит и стирает возможный код в exif, но как ты понимаешь дырки есть просто их не нашли или особо не искали. Там сотня мест откуда может прийти проблема и твой код это самое простейшее - защита от школьников, ломают на уровне дыр серверов, заражений соседей, кражи root'та через вирус в письме от якобы твоего одноклассника и т.д.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Вроде нормально, картинку проверяет, трансформит и стирает возможный код в exif, но как ты понимаешь дырки есть просто их не нашли или особо не искали. Там сотня мест откуда может прийти проблема и твой код это самое простейшее - защита от школьников, ломают на уровне дыр серверов, заражений соседей, кражи root'та через вирус в письме от якобы твоего одноклассника и т.д.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Есть какие то программы, которые ищут возможные дыры. Посоветуйте.
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
Медведь
Есть американский сервис, начинается на "а" не помню название, он тплатный но 1 раз делают бесплатно (причем надо их файл залить в корень подтвердить права) и находят дыры, дают их название и количество но не говорят где, без денег, платить не мало. Я по логам вычислял их потом, тоже csrf нашли если можно это назвать дырой.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Есть американский сервис, начинается на "а" не помню название, он тплатный но 1 раз делают бесплатно (причем надо их файл залить в корень подтвердить права) и находят дыры, дают их название и количество но не говорят где, без денег, платить не мало. Я по логам вычислял их потом, тоже csrf нашли если можно это назвать дырой.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
| Цитата (GET @ 10.03.2016 - 20:02) |
| Медведь Есть американский сервис, начинается на "а" не помню название, он тплатный но 1 раз делают бесплатно (причем надо их файл залить в корень подтвердить права) и находят дыры, дают их название и количество но не говорят где, без денег, платить не мало. Я по логам вычислял их потом, тоже csrf нашли если можно это назвать дырой. |
Вот если вспомните будет круто, можно в личку ссылку.
_____________
Принимаю заказы, писать в ЛС
Медведь
Ок. Завтра попробую отрыть.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Ок. Завтра попробую отрыть.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Медведь
Вопрос в другом, а почему бы у тебя этих уязвимостей не было? 100% ты о них даже не слышал, а всё потому, что опять лень читать книги или другие источники знаний...
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Вопрос в другом, а почему бы у тебя этих уязвимостей не было? 100% ты о них даже не слышал, а всё потому, что опять лень читать книги или другие источники знаний...
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата (inpost @ 10.03.2016 - 20:41) |
| лень читать книги или другие источники знаний... |
Вариант не хватает времени не рассматривается? Я читаю про то, что использую или то, чем буду пользоваться.
В книгах уязвимости особо не рассматриваются.
_____________
Принимаю заказы, писать в ЛС
Медведь
В специальных книгах рассматриваются . А их не один десяток.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
В специальных книгах рассматриваются . А их не один десяток.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Медведь, ты убиваешь интерес к себе.
Я думаю, что скоро я вообще не буду открывать твои темы.
Я тебя предупреждал, но ты не слушаешь.
_____________
Стимулятор ~yoomoney - 41001303250491
Я думаю, что скоро я вообще не буду открывать твои темы.
Я тебя предупреждал, но ты не слушаешь.
_____________
Стимулятор ~yoomoney - 41001303250491
Valick, ты про что (про книги)? Если JavaScript'ом форму засабмитить: document.getElementById('form').submit(); с другого домена, то браузер это дело блокирует одновременно с антивирусом, поэтому и спросил. В интернете не нашёл.
___
На habrahabr в комментариях:
Обычно они мотивируют это тем, что через JS нельзя отправить POST запрос на другой домен. Это действительно так (по крайней мере при обычных условиях).
Всё же, как показывает пример с фреймом, POST запрос на другой домен отправить-то можно, но вот ответ получить не получится.
Другой пост на том же хабре:
Немного погуглив я узнал, что этот заголовок по-умолчанию передаётся при AJAX'е, а при запросе из формы, самой собой, не передаётся. Сделать AJAX запрос я не мог, т.к. Хабр находится на другом домене и меня бы просто не пустил туда браузер. И тут я вспомнил про заброшенный мною давным давно FlashPlayer. Если у вас есть свой сайт, то не думая заливаем код туда и ставим в iframe.
Или такой вот вариант:
_____________
Принимаю заказы, писать в ЛС
___
На habrahabr в комментариях:
Обычно они мотивируют это тем, что через JS нельзя отправить POST запрос на другой домен. Это действительно так (по крайней мере при обычных условиях).
Всё же, как показывает пример с фреймом, POST запрос на другой домен отправить-то можно, но вот ответ получить не получится.
Другой пост на том же хабре:
Немного погуглив я узнал, что этот заголовок по-умолчанию передаётся при AJAX'е, а при запросе из формы, самой собой, не передаётся. Сделать AJAX запрос я не мог, т.к. Хабр находится на другом домене и меня бы просто не пустил туда браузер. И тут я вспомнил про заброшенный мною давным давно FlashPlayer. Если у вас есть свой сайт, то не думая заливаем код туда и ставим в iframe.
Или такой вот вариант:
<a href="http://www.site.com/" onclick="
var f = document.createElement('form');
f.style.display = 'none';
this.parentNode.appendChild(f);
f.method = 'POST';
f.action = 'http://www.example.com/account/destroy';
f.submit();
return false;">To the harmless survey</a>
_____________
Принимаю заказы, писать в ЛС
Valick, если я спрашиваю, это не значит, что я не знаю или не читаю.
Я сверяю информацию из разных источников и иногда нахожу что-то новое.
Кроме того информация в интернете (в книгах ещё больше) устаревает, а пользователи этого форума всегда могут дать аргументированный ответ, основываясь на текущих технологиях.
_____________
Принимаю заказы, писать в ЛС
Я сверяю информацию из разных источников и иногда нахожу что-то новое.
Кроме того информация в интернете (в книгах ещё больше) устаревает, а пользователи этого форума всегда могут дать аргументированный ответ, основываясь на текущих технологиях.
_____________
Принимаю заказы, писать в ЛС
Здесь расположена полная версия этой страницы.