Система управления сайтом "Фасайт" |
19.11.2008, 16:29
|
|
Познающий
Регистрация: 25.10.2008
Сообщений: 40
С нами:
9232983
Репутация:
9
|
|
Система управления сайтом "Фасайт"
Пишу новую CMS. Оф. сайт http://fasite.ru
Прошу ваших содействий в нахождении допущенных мной просчетов в защите моего продукта. Архив с исходным кодом:
http://fasite.ru/temp/test.zip
Инсталлятор пока еще не делал, инструкция по установке внутри архива. В настоящее время отлажены и работают:
Регистрация первого администратора с возможностью одновременной регистрации первого пользователя с теми же параметрами;
Авторизация администратора;
Авторизация пользователя;
Настройки системы в админке;
Управление модулями в админке;
Система шаблонизации.
Если возникнут трудности с установкой, пишите 
Последний раз редактировалось Blagotvor; 19.11.2008 в 20:49..
|
|
|
19.11.2008, 18:43
|
|
Постоянный
Регистрация: 15.07.2008
Сообщений: 444
С нами:
9381262
Репутация:
665
|
|
Вообще-то демо-контент бы не помешал.
рубрики, новости, поля поиска, комментариев
смотреть пока почти нечего, имхо
http://fasite.ru/images/misc/
зачем там такие права?
|
|
|
|
19.11.2008, 19:51
|
|
Познающий
Регистрация: 25.10.2008
Сообщений: 40
С нами:
9232983
Репутация:
9
|
|
Сообщение от lisa99
Вообще-то демо-контент бы не помешал.
рубрики, новости, поля поиска, комментариев
смотреть пока почти нечего, имхо
именно на оф. сайте, да пока неначто... тему разрешили, теперь сегодня или завтра выложу архив с текущим исходным кодом, сможете ковырять его в свое удовольствие 
Сообщение от lisa99
http://fasite.ru/images/misc/
зачем там такие права?
lisa99, вот видите, уже косячок нашли))) спасибо! забыл я туда пустой файлик index.html засунуть)))
|
|
|
|
19.11.2008, 19:55
|
|
Новичок
Регистрация: 18.11.2008
Сообщений: 26
С нами:
9198436
Репутация:
30
|
|
лучше .htaccess'om доступ к папкам прикрой |
|
|
|
19.11.2008, 20:00
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
С нами:
11020706
Репутация:
4693
|
|
http://fasite.ru/user/login - XSS в aname.
З.Ы.
Передача нехешированного пароля - плохо.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
19.11.2008, 20:14
|
|
Познающий
Регистрация: 25.10.2008
Сообщений: 40
С нами:
9232983
Репутация:
9
|
|
лучше .htaccess'om доступ к папкам прикрой
имеет ли смысл для категорий с картинками? =)
http://fasite.ru/user/login - XSS в aname.
З.Ы.
Передача нехешированного пароля - плохо.
XSS прикрыто!
можно подробнее про методы передачи хешированного пароля? с чем это едят?
|
|
|
|
19.11.2008, 20:16
|
|
Флудер
Регистрация: 08.11.2004
Сообщений: 3,395
С нами:
11317286
Репутация:
3876
|
|
Передача нехешированного пароля - плохо.
имело в виду, что пароль надо шифровать хотя бы в md5
|
|
|
|
19.11.2008, 20:29
|
|
Познающий
Регистрация: 25.10.2008
Сообщений: 40
С нами:
9232983
Репутация:
9
|
|
имело в виду, что пароль надо шифровать хотя бы в md5
так при сохранении в базу именно это и происходит =)
ЗЫ
добавил ссылку на исходник в первом сообщении темы
Последний раз редактировалось Blagotvor; 19.11.2008 в 20:50..
|
|
|
|
19.11.2008, 20:53
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
С нами:
10109126
Репутация:
1980
|
|
так при сохранении в базу именно это и происходит =)
имелось в виду, что при передаче пароля в плеин-тексте от пользователя к серверу его могут отснифать
|
|
|
|
20.11.2008, 01:01
|
|
Banned
Регистрация: 22.08.2006
Сообщений: 608
С нами:
10378404
Репутация:
1095
|
|
Сообщение от [Raz0r]
имелось в виду, что при передаче пароля в плеин-тексте от пользователя к серверу его могут отснифать
А что изменится от того, что перехвачен будет не plain-text пасс, а его хеш? Точно так же залогиниться можно будет. )
Add: А с другой стороны, если хранить, допустим, в базе пассы в виде md5-хеша, то можно генерировать при каждой попытке логина случайую соль и втавлять в хидден-поле страницы авторизации, а на стороне клиента генерировать хеш вида md5(md5(pass).salt)). Потом проверять на сервере...
Последний раз редактировалось Digimortal; 20.11.2008 в 01:15..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?951685){kind=avatar}
Похожие темы
Комбинированный вид
