הוסטס - פורום אחסון האתרים הגדול בישראל - אני בסיום בניית מערכת, רציתי שתגידו מה אתם אומרים :)

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - אני בסיום בניית מערכת, רציתי שתגידו מה אתם אומרים :) (https://hosts.co.il/forums/showthread.php?t=65049)

Davieh

11-07-08 12:28

אני בסיום בניית מערכת, רציתי שתגידו מה אתם אומרים :)

היי שלום, אני לקראת סיום מערכת קלאבים, קשור למשחקי רשת ..
סיימתי משו ראשוני, כמובן שזה לא יהייה הסופי..
אגב אני קידדתי ועיצבתי ^^

קיצר, הנה אתר :
http://davieh.no-ip.org/clubs/

David
1234567

חשבתי על רוב הפרצות אבטחה, אני מקווה שאת רובם הצלחתי לחסום, אבל אם תוכלו לנסות למצוא חורי אבטחה ?

תודה :)

נריה	11-07-08 12:37

דבר ראשון בפיירפוקס לא רואים טוב את הסרגל שלך בצד
לגבי המחיקת משתמשים לדעתי תעשה כפתור אישור שמביא למחוק במקום שצריך לרשום שוב את הID,יותר נוח
ועוד הצעה :תעשה אפשרות למחוק כמה משתמשים בו זמנית ע"י כפתור checkbox

Daniel

11-07-08 12:45

מלא, אבל מלא, פירצות SQL. מלא מלא מלא

Davieh

11-07-08 12:48

תראה לי פרצה ?
תראה לי לינק ?
תעשה גם רענון אני העלתי מחדש כמה קבצים.
בפיירפוקס עובד מצוין התפריט אחי, אני עם 3.0, עובד מצוין.

Xinxy

11-07-08 12:50

הנה שגיאה קטנה שמצאתי..
http://davieh.no-ip.org/clubs/delete...;%3C/script%3E
זה רק הניסיון הראשון.. אם אתה רוצה אני יעדכן אותך בקשר לעוד באגים שאני ימצא

עריכה: מצאתי גם SQL INJECTION.. אתה רוצה שאני יראה לך פה או בפרטי?

Davieh

11-07-08 13:14

כן אם אתה יכול בפרטי אז כן :)
זה לא ממש באג, פשוט רשמתי שם שורה, שאם אין לך גישה, אז זה יראה לך התחברות, זה היה נסיון של משו לפני זמן, אני יוריד את זה :)

Daniel

11-07-08 13:29

לכל דבר בכתובת תנסה להוסיף '

snirk

11-07-08 13:40

http://davieh.no-ip.org/clubs/insert.php?Action=Clubs&Club=<br>1
הדבר הכי הכי פשוט ובסיסי... לחסום תגי html ... =\

Davieh

11-07-08 13:42

כל מה שאמרתם נחסם :)
זה היה מוכן, רק היה // על ההגנה ^^

עריכה, חסמתי תגי HTML, כל תו לא חוקי חסמתי :)

snirk

11-07-08 15:08

ציטוט:

נכתב במקור על ידי Davieh (פרסם 649657)

כל מה שאמרתם נחסם :)
זה היה מוכן, רק היה // על ההגנה ^^

עריכה, חסמתי תגי HTML, כל תו לא חוקי חסמתי :)

אתה אמור לחסום את כול התגים, אין שום סיבה שיהיה תגי html בGET.

Davieh

11-07-08 15:24

כמו שאמרתי, כבר חסמתי על תו שהוא לא אות, או רווח, או ספרה.

mayden

11-07-08 15:31

רק אני לא מצליח להתחבר? :(

Davieh

11-07-08 15:32

כן, רק אתה :P
לי זה עובד מצוין:
David
1234567

daMn	11-07-08 16:00

הפאנל לא נראה טוב בFF, ככה שאין לי כוח לבדוק, בכל מקרה במבט ראשוני.
למה אתה לא מצפין את הקוקי? =/

BlueNosE

11-07-08 16:06

נסה לשים ערך לא מספרי בCLUB או ID אחר

Daniel

11-07-08 16:28

אויש, שיט =( אני ממש מצטער! בטעות מחקתי אותו מהפאנל! חשבתי בטעות שזה הוספת מנהל! תוכל להוסיף אותו חזרה?

Davieh

11-07-08 16:35

כן, צודק.
טיפלתי בזה, פשוט אני עושה הגנות עם ביטויים רגולריים, אז עשיתי העתק הדבק ממקום למקום, ושכחתי להחליף את ה/w, ב/d :)

Inet	11-07-08 16:39

לא מצליח להתחבר בכלל :(

Davieh

11-07-08 16:50

היו כמה תקלות, מישו מחק את האוונר, הוספתי מחדש, וסידרתי כמה דברים במערכת :)

Davieh

11-07-08 17:57

נו...? אתם לא מוצאים חור אבטחה ? :P

Kfir.G

12-07-08 10:21

כמה הערות שמצאתי לנכון לציין:

תבדוק אם באמת מוחזר מידע מהמסד אחרי שעשית שאילתה ואל תניח שיש. (דוגמה מהאתר שלך)
במקרה שהמידע המועבר בGET מומלץ לעשות עמוד שגיאה המסביר מה הבעיה או לפחות שיש בעיה. (דוגמה מהאתר שלך)
אולי תוכל להסביר לי מה הרעיון בדרך שבה הצגת את הסיסמה כי לדעתי היא מטופשת. לא רק שהיא מראה שלא הצפנת את הסיסמה האדמין הרי אמור לערוך את הסיסמה. איפה פה ההיגיון לשים את זה בתוך שדה סיסמה? תסתכל בקוד מקור של העמוד הזה
החיפוש שלך לא עובד (סביר להניח שזה בגלל שטעית בaction שם....)
מה הטעם בפאנל מסוג זה בלי אינטרקציה כלשהי עם שרת המשחק עצמו? אתה צריך להוסיף דברים כמו בדיקת סטטוס השרת וכד'
אין היגיון בזה שעשית עמוד נפרד לכל קלאב. תעשה עמוד אחד עם select ותגמור עניין.. מה יקרה כשיהיו לך 100 קלאבים? יהיה לך תפריט לא קריא?
אתה מעביר כמות גדולה מאוד של פרמטרים שקשורים לשאילתה דרך הGET וחושף הרבה מידע על השאילתות שלך (כמו למשל הקטע שעשית עם sort) אני במקומך הייתי נזהר עם זה קצת יותר.
אם אתה רוצה אפשרות שלקוחות יצרו איתך קשר תוסיף טופס יצירת קשר ואל תשאיר את האימייל שלך חשוף להצפות

מקווה שעזרתי,
כפיר

Davieh

12-07-08 10:54

אחי, תודה על ההערות, שמע זה מערכת שכמו שצייני לא גמורה, ז רק משו ראשוני שבניתי.
החיפוש לא עובד לא כי יש טעות, כי לא סיימתי אותו, אני עושה גם לוגים, שכל פעולה זהמראה לך, ואם אתה אוונר אתה לוחץ על כפתור וזה עושה את ההיפך, כאילו שחזור .. :)

כל הקטע של השגיאות וכו' .. זה אני משאיר תמיד לסוף, כי אז לא צריך כל דבר שנאי מוסיף לשנות את השגיאות.
לגבי השרתי משחק, כבר יש מערכת מוכנת שבניתי, שמקבלת מידע שחקנים וכו' ..
אני העלתי משו ראשונה שאפשר לעבוד איתו, בעיקרון מה שאני בונה, זה מערכת עם גישות, אתה מוסיף שרת ומביא לו מס' גישה לעריכה של אדמינים הוספה וכו' ..
וככה לכל משתמש יש גישות נגיד
1,2,3,4,5,6,22,54,43
מבין ?
אני רק מראה פה משו ראשוני, יש גם דברים שאני לא יראה בפומבי כי זה משו ייחודי לקהילה.
לגבי הSORT, אני גם חשבתי על רעיון טוב יותר :) אבל את זה, אם תראו, אז תראו כשאני יסיים הכל :)

אגב, תודה על ההערות :)

Davieh

12-07-08 13:02

למה אני לא יכול לערוך את התגובה שלי WTF?
כפיר, עוד משו, לגבי הקלאבים, זה לא עמוד לכל קלאב, שים לב ללינק :

PHP קוד:


		
			
?Action=Clubs&Club=1

יש לי פרמטר בגט, שקוראים לו קלאב, והוא מקבל מספר, ואז הולך לטבלה עפ"י המספר הזה..
זה גם יותר מסובך, כל העניין של המסד, כי לא מספיק להוסיף שרת במערכת, צריך לערוך קובץ בשרת משחק, שהוא הפרטים של המסד והטבלה שממנה הוא יקרה את האדמינים.
אתה יכול לשים כל מספר בקלאב, מספיק שיש לו טבלה לקלאב, ויש שרת שמחובר אליו.

dabi	13-07-08 12:09

לא מצליח להתחבר לפאנל

erezse

13-07-08 13:41

גם אני לא מצליח

Davieh

13-07-08 13:52

שיניתי פרטים, כי כל הזמן מוחקים את המשתמש אוונר =\
Admin
fcsi123

:)

y0n1	17-07-08 16:46

יש לך SQL Injection ב LOGIN של המערכת שלך ....
http://www.hosts.co.il/forums/showthread.php?t=65049

ותתקן דחוף את הקוד :

PHP קוד:


		
			
case Login: 

  $UserName = $_POST['UserName'];

  $Password = $_POST['Password']; 

  if (($UserName != "") && ($Password != "")) 

   SetCookiee($UserName, $Password);

זה בעצם מאפשר לי להתחבר איך שבא לי בלי אימות בכלל של הסיסמא כל עוד התוכן שנו מ NULL

כל הזמנים הם GMT +2. הזמן כעת הוא 12:37.