PDA

Просмотр полной версии : Посмотрите пожалуйста мой чат на уязвимости

PAULTER
04.04.2007, 23:09
Здравствуйте!
Написал чат, хочется узнать ваше мнение насчет его безопасности и уязвимостей: http://chatok.isrv.ru/b/
Жду критики :)
Тестовые логин и пароль: achat
Спасибо.
goodkit
05.04.2007, 00:53
это же вуду, крепкий как орешек )
Bum3r
05.04.2007, 04:03
ага посмотрел норма вроде сделан :)
P.S. Тоже показалось что это voc
c411k
05.04.2007, 05:12
активная xss в поле хоумпаги.
http://chatok.isrv.ru/b/info.php?login=cy
+ сессию должна умирать, после закрытия браузера юзером, а так пока выход не нажмешь, юзер остается в чате навсегда.

зы. от флуда что нибудь еще замути ;)
http://img87.imageshack.us/img87/3069/chhnb4.th.jpg (http://img87.imageshack.us/my.php?image=chhnb4.jpg)

зыы. логин пасс - cy:111 i 111:111
Woldemar
05.04.2007, 07:11
Здравствуйте!
Написал чат, хочется узнать ваше мнение насчет его безопасности и уязвимостей: http://chatok.isrv.ru/b/
Жду критики :)
Тестовые логин и пароль: achat
Спасибо.

Да внатуре сделай что бы сессии убивались + антифлуд защита = 0!
XSS - есть но уже как то не актуально ...
и не харашо править код чужого чата и выдавать его за свой ;)
neval
05.04.2007, 11:55
а разве в voc можно отправлять месаги сохранив sender.php на винте...
PAULTER
05.04.2007, 18:16
Спасибо за критику!
Вот только мне непонятно, где вы там нашли voc...
и не харашо править код чужого чата и выдавать его за свой
Мне аж обидно... Он похож только внешним видом. Этот чат писан мною с нуля :cool:.
+ сессию должна умирать, после закрытия браузера юзером, а так пока выход не нажмешь, юзер остается в чате навсегда.
Эта фича у меня имеется, только я ее снял так как появились проблемы...
А антифлуд будет ;)

А то, что можно отправлять мессаги с сохраненной формы, это серьезная уязвимость? Ведь у меня там нет ниче такого важного.

P.S.: XSS пофиксен :)
zl0y
05.04.2007, 18:40
paulter
Предоставь исходники чата если не сложно !
PAULTER
05.04.2007, 18:41
а зачем тебе?
neval
05.04.2007, 19:15
А то, что можно отправлять мессаги с сохраненной формы, это серьезная уязвимость? Ведь у меня там нет ниче такого важного.

2 за невнимательность - своим постом я высказал сомнение по поводу идентичности твоего чата и Voc

з.ы. по поводу исходников - посмотреть...
PAULTER
05.04.2007, 19:28
2 за невнимательность - своим постом я высказал сомнение по поводу идентичности твоего чата и Voc
Я просто увидел у себя в чате вот это:
(07:48:01) dfgsdfgsdfgdsf: jyyy
(07:49:35) dfgsdfgsdfgdsf: tyjtyjtyj
(07:50:54) dfgsdfgsdfgdsf: jtyjtyjtyjtyj
(07:51:06) dfgsdfgsdfgdsf: serghierioghoergio44htio34ghiohioh
(07:51:59) dfgsdfgsdfgdsf: отправка с сохраненной формы
(07:54:23) dfgsdfgsdfgdsf: тест

Вдруг это опасно?
з.ы. по поводу исходников - посмотреть...
Ну в паблик весь чат выкладывать однозначно не буду...
А если какие небольшие куски интересны могу показать.
Romanb)4
10.04.2007, 04:59
Здароff народ.... посмотрите пожалуйста ЧатАлданголд (http://chat.aldangold.ru) на уязвимости... Разжуйте пожалуйста подоходчевее, а то я в этом не сильно шарю....
login bumer
pass 555 или 333

Заранее спасибо... ;) ;)
goodkit
10.04.2007, 05:24
Здароff народ.... посмотрите пожалуйста ЧатАлданголд (http://chat.aldangold.ru) на уязвимости... Разжуйте пожалуйста подоходчевее, а то я в этом не сильно шарю....
login bumer
pass 555 или 333

Заранее спасибо... ;) ;)


Не в этой теме запостил! А так твой чат Voodooo! Тебе его не поиметь!
Romanb)4
11.04.2007, 08:48
Не в этой теме запостил! А так твой чат Voodooo! Тебе его не поиметь!
Спасибо за совет...