VisualCiro (Normal User)
Rookie
 
Messaggi: 34
Iscritto: 07/03/2011
|
Ciao a tutti, dopo molto tempo ho riscritto il mio sito da zero, eccollo qui: http://softwareesources.altervista.org/.
La maggior parte delle pagine è scritta in php, alcune invece sono ancora in html, ora devo solo aggiungere qualche stile e suddividere gli stili css e le pagine web in file diversi.
Ho aggiunto un form per registrarsi, se qualcuno vuole registrarsi, è ben accetto  .
Se il mio sito vi piace, cliccate sul pulsante Mi Piace su http://www.facebook.com/pages/Software-Sources/24065647596 ...  , se non vi piace, datemi qualche suggerimento .
P.S. Stò creando una chat per il sito che potrà essere vista solo dagli utenti registrati.
Vi piace come idea?
Vedete il sito e rispondetemi  .
|
|
|
HeDo (Founder Member)
Guru^2
Messaggi: 2765
Iscritto: 21/09/2007
|
la grafica è parecchio scarna e sinceramente la frase " Se capitasse qualche errore con delle applicazioni con un utente differente da "SoftwareESources" non mi assumo nessuna responsabilità"
visto che quando ci si registra si possono caricare OGNI GENERE DI FILES SENZA AUTORIZZAZIONE E/O CONTROLLO sei TU il responsabile di quello che viene caricato.
se io carico un mp3 coperto da diritto di autore o qualsiasi altra cosa NON è certo quella frasetta nella home che ti solleva dalle responsabilità.
|
|
|
lumo (Member)
Expert
Messaggi: 449
Iscritto: 18/04/2010
|
E' pieno di bachi, ragazzo mio!
Sono riuscito a scaricare il codice sorgente delle pagine facendo /download.php?URL=nomepagine
Dalle pagine inoltre saltano subito all'occhio le evidentissime XSS perchè non fai alcun escape, ne su il nome sulla descrizione ne sull'username e terzo, non fai il controllo del tipo di file uploadato. Se io faccio l'upload di un file .php con all'interno codice malevolo e dopo lo visualizzo posso fare di tutto e di più sul tuo server( vulnerabilità chiama LFI ).
Ultima modifica effettuata da lumo il 10/09/2011 alle 15:49 |
|
|
Pitagora (Member)
Expert
Messaggi: 367
Iscritto: 12/06/2010
|
mmmmm cos'è questo? http://softwareesources.altervista.org/Users.txt
e poi, è possibile uppare di tutto e di più nel sito. Esempio: una pagina php, che apre il file Users.txt e cancella il contenuto, oppure uno script che cancella TUTTO, oppure una pagina che fa apparire un alert
Per favore, cambia tutto!
Usa un buon libro di testo, per studiare php e mySql.
Ultima modifica effettuata da Pitagora il 10/09/2011 alle 17:43 |
|
|
HeDo (Founder Member)
Guru^2
Messaggi: 2765
Iscritto: 21/09/2007
|
asd non ci credo, questo è il codice del suo upload:
Codice sorgente - presumibilmente Tutto e di + |
<?PHP
session_start();
$cartella = './Apps/';
$percorso = $_FILES['Software']['tmp_name'];
$nome = $_FILES['Software']['name'];
if (move_uploaded_file($percorso, $cartella . $nome))
{
$AddApp=implode('', file('./apps.html'));
$Apps=@fopen("apps.html","w");
@fwrite($Apps,ereg_replace("<!--Applicazioni-->",'<tr><td><a href="download.php?URL=./Apps/'.$nome.'">'.$nome.'</a></td><td>'.$_POST['Descrizione'].'</td><td>'.$_SESSION[NomeUtente].'</td></tr>'.chr(13).'<!--Applicazioni-->',$AddApp));
@fclose($var);
echo include 'apps.php';
}
else
{
echo include 'apps.php';
}
?>
|
praticamente VA A MODIFICARE IL FILE HTML DELLA PAGINA PER AGGIUNGERE L'APPLICAZIONE!!! non si appoggia su un database...
mi stanno venendo i brividi
|
|
|
HeDo (Founder Member)
Guru^2
Messaggi: 2765
Iscritto: 21/09/2007
|
ok ho messo un disclaimer sulla homepage, speriamo che le mie parole servano a qualcosa...
|
|
|
D@vide (Member)
Expert
Messaggi: 450
Iscritto: 30/06/2010
|
Postato originariamente da HeDo:
ok ho messo un disclaimer sulla homepage, speriamo che le mie parole servano a qualcosa... |
|
|
|
Mte90 (Member)
Guru
Messaggi: 1144
Iscritto: 25/03/2008
|
cavolo tentare qualche hacking XD
m ha quanto pare adesso non funziona più la pagina download e sono scomparse alcune cose in frammenti.
mai visto un sito così buggato
|
|
|
HeDo (Founder Member)
Guru^2
Messaggi: 2765
Iscritto: 21/09/2007
|
ho disattivato tutte le vulnerabilità e ho scritto una paginetta di promemoria al webmaster direttamente nel suo FTP.
speriamo che le mie parole servano a qualcosa
|
|
|
|
| 
