Самодельный движек

[monsters]

Вот такое чудо сделал пол года назад. Потом ка кто времени не было, поддержку и разработку забросил. Сейчас снова занялся. Это мой первый проект с использованием баз данных mysql. До этого был опыт написания форума на файлах. Дизайнер с меня не очень, поэтому все по максимуму просто. Большую часть интерфейса позаимствовал с "kinozal.tv"(так как очень плохо представляю себе как нужно).
Собственно ссылка

Ссылка скрыта от гостей

 

[EmptyR]

Позвольте поинтересоваться, у вас на хостинге случаем логин не "monst637", а? А то палится такой никнейм на сайте... Ух как палится...

 

[monsters]

Позвольте поинтересоваться, у вас на хостинге случаем логин не "monst637", а? А то палится такой никнейм на сайте... Ух как палится...

Хм, действительно. Даже не задумывался об этом раньше. Этоь сильно грозить безопасности сайта?

 

[EmptyR]

Теоретически, можно подобрать по вашему логину пароль (через так называемый брутфорс).

Потом я был удивлён скрипту

Ссылка скрыта от гостей

, вроде как старая версия поисковой формы, но то, что она вытворяет, просто уничтожает понятие защищённого сайта.
Во первых, Access denied for user 'apache'@'localhost' (using password: NO) in /home/monst637/domains/free-traffic.ru/public_html/search.php on line 166. Путь до файла намекает на логин на хостинге monst637.
Во вторых, стесняет "'apache'@'localhost' (using password: NO)". Я пока не знаю, что это значит, но отсутствие использования пароля вряд ли относится к чему то хорошему.
В третьих, смущает "supplied argument is not a valid MySQL result", видно, используется SQL запрос к ныне не существующей базе данных, или к не существующим полям, сложно мне сказать точно.

Ещё одна SQL инъекция -

Ссылка скрыта от гостей

, параметр id_post не проверяется на принадлежание к числу, а это плохо.

Так же палится функция include:

Ссылка скрыта от гостей

. Получается, я могу "прощупать" таким образом файл на сервере, теоретически, ибо параметр page производит вставку в код страницы содержимое php файла, имя которого заданно в том параметре. Весьма опасно, я так думаю.

И напоследок, сайт криво отображается в IE6, причём проблема в кодировке какая то.

 

[monsters]

Теоретически, можно подобрать по вашему логину пароль (через так называемый брутфорс).

Потом я был удивлён скрипту

Ссылка скрыта от гостей

, вроде как старая версия поисковой формы, но то, что она вытворяет, просто уничтожает понятие защищённого сайта.
Во первых, Access denied for user 'apache'@'localhost' (using password: NO) in /home/monst637/domains/free-traffic.ru/public_html/search.php on line 166. Путь до файла намекает на логин на хостинге monst637.

Да да, есть такое. Исправлю. Что вы имеете в виду "старая версия поисковой формы". Если подразумевается сам скрипт - то писался он ручками с ноля.

Во вторых, стесняет "'apache'@'localhost' (using password: NO)". Я пока не знаю, что это значит, но отсутствие использования пароля вряд ли относится к чему то хорошему.
В третьих, смущает "supplied argument is not a valid MySQL result", видно, используется SQL запрос к ныне не существующей базе данных, или к не существующим полям, сложно мне сказать точно.

В этом скрипте и не должно быть каких либо паролей. Так как за это все отвечает index.php. Естественно он не может подключится к базе самостоятельно. Работает только так

Ссылка скрыта от гостей

. Но логин палится, это тоже исправлю.

Ещё одна SQL инъекция -

Ссылка скрыта от гостей

, параметр id_post не проверяется на принадлежание к числу, а это плохо.

Так же палится функция include:

Ссылка скрыта от гостей

. Получается, я могу "прощупать" таким образом файл на сервере, теоретически, ибо параметр page производит вставку в код страницы содержимое php файла, имя которого заданно в том параметре. Весьма опасно, я так думаю.

И напоследок, сайт криво отображается в IE6, причём проблема в кодировке какая то.

Здесь тоже полностью согласен.
Вывод: добавить проверки на ошибки.

 

[monsters]

Все, лавочку прикрыл.

 

[EmptyR]

лавочку прикрыл.

Молодец, теперь всё чётко... Буду ещё некоторые методы проверять попозже, сообщу, что нарою.

 

[EmptyR]

Заметил, что сайт не умеет ограничивать количество попыток входа в свой аккаунт. Это позволяет провести атаку типа "brute force". Это опасно, ибо хакер сможет подобрать пароль от любого логина на сайте (включая админский логин)

Так же, замечено, что иногда сайт генерирует ошибку 503. Что то с серваком.... Ошибка получается если пробовать раз 5 попытаться авторизоваться, и такая ошибка может выскочить.

 

[monsters]

Упс... Сообщение не туда отправиЗаметил, что сайт не умеет ограничивать количество попыток входа в свой аккаунт. Это позволяет провести атаку типа "brute force". Это опасно, ибо хакер сможет подобрать пароль от любого логина на сайте (включая админский логин)

Это да. Но как лучше идентифицировать? Куки? Но хакер может просто каждый раз их чистить. Ай пи тоже не подходит, так как многие провайдеры дают всем клиентам единый айпи. И Смогут залогинится например первые 5-10 человек.

Так же, замечено, что иногда сайт генерирует ошибку 503. Что то с серваком.... Ошибка получается если пробовать раз 5 попытаться авторизоваться, и такая ошибка может выскочить.

Хостинг очень нестабильный попался. Или его все время кто то "досет", или сам по себе такой. Однозначно буду менять!

 

[EmptyR]

Может раскроешь секрет, что за хостинг?

 

[monsters]

Скажу, но только после его замены