אשמח אם תחשפו בו חורי אבטחה וכאלה (:
תודה ..
ועוד שאלה.. איך אפשר (אם אפשר) לכבות SAFE MOD בשרת שהעלתי אליו שאלל?
ראשי > אבטחת מידע > בניתי אתר, אשמח אם תבדקו אותו (:
אשמח אם תחשפו בו חורי אבטחה וכאלה (:
תודה ..
ועוד שאלה.. איך אפשר (אם אפשר) לכבות SAFE MOD בשרת שהעלתי אליו שאלל?
אתר מעוצב יפה + :P
בהצלחה
ואתר נחמד צבעים של פריקים :\
אני מניח שיש עוד..
אגב.. למה אפשר להזריק אם כל המשתנים שעוברים בחיפוש מועברים דרך HTMLSPECIALCHARS ו MYSQL_ESCAPE_STRING?
קוד:<?php
echo intval($_GET[’num’]);
?>
מה הרעיון של האתר ולמה יש לו עיצוב של פריקים
ועוד משהו
ואם אני לא טועה קוראים לך יהונתן ..לא?[ההודעה נערכה על-ידי ShaDoW MaN ב-04/09/2007 17:40:11]
אני עשיתי את הקטע עם המספרים בכל האתר XD ומשום מה בחיפוש שכחתי.. אני דפוק..
אני עושה את זה עם IS_NUMERIC ולא עם הפונקציה שהבאת..
ולשאדו מן.. לא לא קוראים לי יהונתן..
xss בתמונה רקע (IE6):
קוד:java*script:alert(/xss/);
(בלי ה * - פשוט יש פה הגנה מפגרת של צינזור מילים)
xss בצבע כתב:
קוד:;xss:expression(alert(/xss/))
הדוגמה הנ"ל תעבוד רק על IE 6 ו 7. ניראה לי יש עוד דרכים שיעבדו גם על FF, תבדוק פה - http://ha.ckers.org/xss.html
xss ב - "הגדרת תמונה אישית" :
שלח טופס POST ל
קוד:http://www.thegrave.net/userpanel.php?act=pimg
שהערך של "img" הוא:
קוד:%22%20OnMouseOver=alert%28%2Fxss%2F%29%20xss=%22
עוד xss לא ממש מסוכן יש ב עריכת אימייל:
קוד:xxx@xss"><h1>xss</h1>.com
ועוד אחד שלא מהווה סיכון ב cookies:
קוד:username=xss
SQL Inj לא מצאתי, אלא אם בהודעת שגיאה שלך כתוב: "באמא שלך.. אל תנסה לפרוץ לפה, אני יותר חכם ממך"
שמחתי לעזור :)[ההודעה נערכה על-ידי SkOd ב-05/09/2007 23:34:23]
כל החורים נסגרו..