- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
вы уверены, что поняли, о чем идет речь?
Речь идет о том, что в админке добавляется дополнительное поле ("дополнительное описание", скажем так), которое невозможно заполнить из публичной части (вебмастерами, добавляющими сайты в каталог), но которое может заполнить администратор. Во всех полях, заполняемых из публичной части, теги запрещены (выводятся как enitities), а данные поля "дополнительное описание" выводится без преобразование тегов в сущности, что позволяет вставить админу (и только админу) HTML-код в описании сайта.
И еще два момента непонятны мне: зачем сносить админку после модерирования сайтов и что именно вставляется инклюдом и как это связано с изменением кода ссылок?
А что, я разве неясно выразился?
Тоесть, вы хотите сказать, что ваш скрипт не будет безопасен?
По поводу удаления админки, вот, что первое выскочило в поиске: http://www.smallnuke.com/forum/index.php?showtopic=1873&st=0
Я думал у вас есть логика, и мне не прийдётся дописывать за вас.. Вообщем после доступа в админку, через вашу форму можно будет очень просто получить доступ к хосту.
Мне хватило одного случая, теперь я проверяю скрипт, прежде чем начать капитально работать с ним.
И что предлагается через инклуд вставлять
Еще раз напоминаю, что суть моего предложения заключалась всего лишь в возможности для администратора каталога дополнять подробное описание сайта-участника-каталога произвольным html кодом (например, многолинковой ссылкой) - то большинство администраторов, которым такая возможность не нужна, могут ей и не пользоваться.
А что вы хотели вставлять, то и вставляйте, помоему нет ничего проще чем вставить ваш код в txt файл на сервере, чем каждый день трястить о безопасности скрипта.
Да и вообще, кто его знает, могут и через форму взломать, где мыльный адрес вставляется. (пример)
Да и вообще, кто его знает, могут и через форму взломать, где мыльный адрес вставляется. (пример)
защита от SQL injection делаеться достаточно несложно, а psylosss не производит впечатление лоха первокласника, 3й день изучающего пхп.
Вообщем после доступа в админку, через вашу форму можно будет очень просто получить доступ к хосту.
максимум, это почистить базу. при условии, что туда влезут, в чем я сомневаюсь сильно.
знаете, сносить админку из соображений безопасности, это меня повеселило :)
хотя конечно каждй вправе принимать такие меры, которые считает адекватными.
К сожалению, я так ничего и не понял - вообще сам я программистом не являюсь и надеюсь, что программисты скриптов позаботятся о безопасности
Могу только сказать - что на рынке существует несколько достаточно распространенных скриптов "для обмена ссылками" - и ВСЕ они позволяют добавлять не только текст, но и произвольный HTML код, причем не только админу через админку - но и всем посетителям через форму добавления - и их не ломают через эту форму
Так как эти скрипты не являются полнофункциональными каталогами (например, все они даже не имеют подкатегорий), чуть-чуть нарушу этику и назову несколько из них linkclub.ru samkov.msk.ru siteservice.ru (этот сам пользую)
Могу даже сказать, что именно вследствие этой функциональности (возможности размещения произвольного кода), я даже обращался к авторам двух последних скриптов с просьбой доработать их скрипты до полнофункционального каталога - но авторы тех скриптов сейчас просто перегружены работой с мелкими доработками - большинство их пользователей не нуждается в глобальном развитии скрипта, но постоянно требует различных мелких доработок
после доступа в админку, через вашу форму можно будет очень просто получить доступ к хосту.
Как и почему злоумышленники должны получить доступ в админку
И что имеется в виду под хостом и какой доступ они могут к нему получить
А что вы хотели вставлять, то и вставляйте, помоему нет ничего проще чем вставить ваш код в txt файл на сервере, чем каждый день трястить о безопасности скрипта.
Объясните, пожалуйста, как мне вставлять многолинковые ссылки в полные описания сайтов, размещенных в моем каталоге, через txt файл(ы)???
Во-первых, что, каждый раз для сайта, которому нужно многолинк добавить в описание - txt файл создавать?
Во-вторых. как вообще этот txt файл поставить. чтобы он попал туда, где полное описание соответствующего сайта?
И - только сейчас вспомнил - в админке обсуждаемого в этой теме каталога
УЖЕ ЕСТЬ поля - в которые возможна вставка html кода - например, для баннеров, счетчиков и статей
Чем принципиально будет опаснее поле с дополнительным описанием для ссылки в каталоге?
maximumx, настоящая безопасность достигается путем уничтожения компьютера. С этой точки зрения я не могу предоставить по-настоящему безопасный продукт. Кроме того , вы действительно не умеете выразить свою мысль понятно.
Вообще, ваши слова здесь выглядят несколько параноидальными.
И я бы попросил вас не развивать в этом топике данную тему. И, поскольку личные сообщения и сообщения на пейджер вы игнорируете, то давайте вообще прекратим наше с вами общение. спасибо.
Что касается дополнительного поля, то я понимаю, что оно может очень пригодиться пользователям, поэтому в одной из следующих версий добавим его.
защита от SQL injection делаеться достаточно несложно, а psylosss не производит впечатление лоха первокласника, 3й день изучающего пхп.
Это был пример.
Чтобы защититься от хакера, надо быть самому хакером.
максимум, это почистить базу. при условии, что туда влезут, в чем я сомневаюсь сильно.
знаете, сносить админку из соображений безопасности, это меня повеселило
хотя конечно каждй вправе принимать такие меры, которые считает адекватными.
Базу, а каким боком тут мускул? Я говорю о реалиях.
Ну каждый думает в меру ответственности.
Чтобы защититься от хакера, надо быть самому хакером.
можно еще админку снести :)
вы сами, как я вижу по постам далеко не хакер, похоже вы просто начитались в разным местах пугалок.
поверьте мне, я достаточно много в жизни занимался и ломанием то же. скрипт каталога достаточно небольшой продукт, с небольшим количеством потенциально опасных мест, поэтому аудит безопасности может провести сам автор. если он конечно не полный чайник и не хранит пароли в текстовом файле в папке с общим доступом.
я конечно не видел кодpsylosssа, но думаю там все в порядке.
имхо, вам сильно попортил нервы случай взлома, на который вы ссылались, поэтому вобщем понятно ваше желанее обезопасится по максимуму. но тут вы перебарщиваете. у меня знакомый в аварию попал, теперь боится в машинах ездить, я в такую же попадал, спокойно ездю, причем на той же машине. от человека зависит. вот вы мне напоминаете моего знакомого.
расслабтесь, глубоко вздохните, и поверьте мне, у самого хостера дырок не меньше.
Поскольку maximumx несколько мутно излагает свои мысли, могу предположить, что он сомневается в безопасности скрипта plasticat. Если это так, то, пожалуйста, есть demo.plasticat.ru - есть доступ даже в админку. Есть catalog.plasticat.ru... Почему бы вместо пустой болтовни о хакерстве не взглянуть на эти сайты и не убедиться, что не то, что элементарные mysql- и php-инъекции не проходят, но и вещи посложнее тоже сделать не удастся... К чему все эти теории о хакерстве, совершенно бредовые предложения сносить админку, вставлять ссылк txt-файлами?