Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   WWW.PDATOR.RU (https://forum.antichat.xyz/showthread.php?t=186278)

Blagotvor 12.03.2010 23:04
WWW.PDATOR.RU
 
Очень надеюсь, что сумею убедить вас, что мой сайт подходит требованиям раздела)

Сайт построен на моей сборке CMS Open SLAED. Я конечно затрудняюсь перечислить все внесенные мной изменения, так как их сделано уже очень много и я не затруднял себя вести журнал учета. Начнем с того, что был отредактирован и более менее оптимизирован весь код движка. Весь генерируемый код был приведен к стандарту XHTML 1.0 Strict. Были переписаны или доработаны:
1 - ajax система;
2 - система безопасности;
3 - модульная система;
4 - генерация заголовков и ошибок;
5 - система интеграции с форумом phpBB3;
6 - система категорий для контента;
7 - структура базы данных;
и многое другое... Я могу с уверенностью сказать, что переписал уже более 60% кода этого движка. Итак...

Для начала у меня пока единственная просьба, проверить надежность капчи и систему защиты от спама в целом. Класс капчи я тоже переписал. :D

pdator.ru/account-newuser.html
pdator.ru/contact.html

AKYLA 23.03.2010 21:30
Заинджектить через CRLF можно хидеры, да и так редирект использовать для перенаправления прямого.
www.pdator.ru/redirect.php?go=%0a%20Name_Header%3AValue

Blagotvor 23.03.2010 23:22
AKYLA, вроде пофиксил, проверьте еще раз... может что ни будь еще? )
спасибо!

AKYLA 24.03.2010 06:34
Все так же осталась возможность фишинга, при добавлении какой-то ссылки в параметр go.
Лучше или проверять куда ведет редерект или делать, что-то типа как на некоторых сайтах когда показывают пользователю, что он покидает сайт и перенаправляется по указанной ссылке или обрезать различные параметры после ссылки-редеректа.

Blagotvor 25.03.2010 01:03
AKYLA, сделал в редиректе проверку рефера! теперь редирект возможен только со страниц сайта, для чего он собственно и предназначен)

Blagotvor 29.03.2010 02:26
Life7, у меня все в порядке, все на месте, все в штатном режиме! даже логи нападений чистые... видимо вы зашли на сайт, когда я его ковырял =))

все бы прекрасно, но в не активированных пользователях уже более 80-ти записей! может быть все же кто ни будь проверит надежность капчи и защиту форм от спама? я же скромно и именно об этом попросил изначально :)

[offtop]Ток щаз обратил внимание на свой UID - 66661 :D [/offtop]


Время: 08:07