Хостинг за тестирование скрипта!

AdvantA.org - Bpanel v1.0

Итак, нами был написан скрипт панели управления счетами, адаптированный под требования клиентов и созданный для легкой и быстрой работы администратора.

Адрес: http://advanta.org/test/
Логин и пароль : admin

Данный аккаунт уже получил статус "Активный", нежели, если регистрировать аккаунт на http://advanta.org/test/reg.php

Фича вот в чём: скрипт-то написан, но надо его протестировать, главным образом на безопасность и конечно же отсутствие ошибок.

Если у кого-то есть время просмотреть скрипт, скажем так, "заценить его", то мы будем очень рады, ну а если будет обнаружена какая-либо ошибка, то тому, кто её нашёл, предоставим хостинг с 50 мб на один месяц, если же эту ошибку мы исправить не сможем, а сможет её открыватель, то бесплатно дадим хост на 5 месяцев.

Также был создан аккаунт с ID 1000 и логином - test, при взломе данного аккаунта, а именно, получении пароля от него, дадим хост на 3 месяца. если же залатыть дыру в безопасности не сможем, а сможет её открыватель, то предоставим хостинг на 9 месяцев с 50 МБ места или эквивалентно этому по стоимости.

[shuron]

да за такую награду...
никто время тратить не будет помойму...

уж лучше просто скажите кто взломает - тот "самый крутой" и никаких левых хостингов на пол года...
помойму ито больше желающих появится

[LAndrew2]

advanta
да уж... то же мне награда!! кто сумеет взломать - тому ваш хостинг и так не нужен... полностью согласен с shuron

[Saruman]

advanta
Хотите полноценное тестирование - тогда уж и исходники выкладывайте. Чтобы и white box анализ провести можно было, а не только black box.

Многие уже нашли ошибки и получили бесплатный хостинг!
Исходники выкладывать не буду, т.к. на создание скрипта было потрачено много времени и сил!

[FantomIL]

Не знаю - это баг скрипта или просто совпадение, но за 1 минуту до моего поста просто так решил глянуть. Так вот, при попытке смены данных о юзере при подставлении в скрипт большого количества точек или большого количества символов конвеера (точное число назвать не могу - набирал просто так для пробы "в лоб", так сказать) по этому адресу http://advanta.org/test/index.php?userupdate ваш скрипт наглухо зациклился

Что-то мне подсказывает, что у вас там сервер повис...

Только что получил сообщение от shuron, подтверждающее что сервер глухо висит. Так что со взломом теста придется погодить

[shuron]

FantomIL
видать нашол ты баг.

забирай хостинг на один месяц 50 мб)))

[FantomIL]

А если поставить в определенном порядке символы конвеера и символы перенаправления ввода-вывода, то скрипт вместо результатов работы выдает содержимое виртуальной директории.

А это уже баг...

Смотрим скрин на аттачменте.

К сожалению, аттачмент пришлось удалить . Если кому-то интересно, стучите в приват - пришлю на мыло.

[FantomIL]

В общем так:
Настоящее имя хоста roothost.ru, создается впечатление, что заботы безопасности не на первом месте. Открыто все, что можно, что нельзя - тоже открыто. Или это они так в заблуждение вводят(типа маскарадинг)? Короче, где не прикоснешься - везде недочеты, чуть тронешь что-нибудь - сервер висит.
Если advanta нужно - могу прислать отчет. Дальше копать просто неинтересно. Но вопросам сетевой безопасности сервера, нужно уделять больше внимания, ИМХО.

Кстати, в данный момент он опять повис...

to FantomIL: сейчас скрипт уже поставили работать, но у меня вопрос такой: что такое конвеер и куда ты подстявлял много точек ? Скрин я не нашёл...

p.s. Если хочешь, можешь месяц хостинга бесплатно получить, тогда ответь положительно в эту тему.

[FantomIL]

2 advanta

Конвеер это свойство командных интерпретаторов, которое позволяет напрямую подавть результаты вывода одной команды(программы, скрипта ...) на ввод другой. Символ конвеера - вертикальная черта. Дело в том, что практически все современные интерпретаторы поддерживают конвеер. То есть второй скрипт получает команды не от непривилегированного пользователя, а от первого скрипта, который обычно наследует права веб-сервера при запуске. А, так-как веб-север, как правило, крутится с правами рута, то ...
Особую опасность представляют комбинации символов - слэш, перенаправление ввода-вывода, точка и конвеер, подставляемые в поля вводов или непосредственно в адресную строку броузера. Избавляются от этого тривиальным фильтром полей ввода на веб-формах и адресной строки, короче, фильтруем все, что скрипт получает в качестве параметров. Да, нельзя забывать, что любой символ можно записать и другими способами .

Цитата:

сейчас скрипт уже поставили работать

Это спорно, так-как только что я опять получил содержание виртуальной директории, вместо работы скрипта
Скрины этого и прошлого раза могу прислать на мыло.
Кроме того, есть еще несколько серьезных замечаний по безопасности, которые не хочу выкладывать на всеобщее обозрение, так-как считаю это неэтичным.

Все остальные дискуссии и обсуждения, в том числе насчет хостинга, предлагаю перенести в приват, мыло или аську.

З. Ы. Был забавный баг, не знаю он остался или нет, потому что скрипт опять глючит. А баг состоял в следующем: если один раз зайти на сервер и уйти некорректно (например, просто закрыв броузер) то потом он пускал и с любым паролем Видимо, куки сбивали. Так я забавлялся, менял пароль и проверял какое-то время. Праздник кончился, когда я сменил пароль на пустой и вышел по ссылке. Больше скрипт не пускал вообще.

Когда ты в ICQ бываешь ?
Поговорим, я тебе хостинг предоставлю за помощь

И ещё, скинь, пожалуйста, скрины на admin_at_advanta.org ( _at_ это @ )
Также в твоем профиле нет ICQ...

to FantomIL
Скинь плиз твой номер ICQ
По e-mail похоже письма не доходят...