Стоит такая задача: на сайте будет специальный раздел для партнеров где они смогут, зайдя под своими логинами и паролями получить доступ к списку документов и возможность скачивать их. Т.е. все довольно просто: пользователь авторизуется, попадает на страницу со списком файлов и кликая на нужный, качает его. Но в данном решении не устраивает тот факт что скачка будет осуществляться по протоколу http. Хотелось бы организовть такой сервис именно через ftp. Чтобы пользователь видел каталоги, подкаталоги, файлы и т.д. Мог качать нужный. Админ, соответственно, чтобы имел возможность создавать каталоги и закачивать в них файлы. Явно задача известная, распостраненная, но для меня - она является пробелом в знаниях. Вообще понятия не имею каким образом организовывается такое. Существуют ли какие готовые сервисы, которые можно встраивать в свой сайт или же скрипты. Или может и вовсе такое самому не сложно написать (язык - php), хотя в этом я сомневаюсь. Подскажите как сделать подобное!
тут один только вариант - делать листалку каталогов, и скачивание файла не через прямую ссылку, а через скрипт. Думаю, скрипты для пролистываниая контента в браузере на удаленном сервере, найти можно.
А вообще спросите как у коммента рейтинг 1000 получилось сделать? http://find-xss.net/news/article/version-0-4-0/ Да какой даун додумался написать тупую функцию на jquery http://find-xss.net/index.php?ajax=yes& ... &vote=1000 module_id - ид модуля object_id - id объекта т.е ид статьи vote=1000 - плюсуем любой коммент любым числом если запустить скрипт в цикле можно просто на 10 лет вперед проголосовать. Сука сайт от XSS у самих после авторизации пароль в открытом виде в куках лежит. Когда же вас всех там раком нагнут
Оправдываться не буду, просто все починил. Особенно за куки обидно, сам не знаю как упустил. Но теперь сканер отслеживает это. А насчет раком, это вы зря сервис то полезный.
Насчет исходников мне нечего сказать, больная тема. Тут каждый должен для себя решить, доверять или нет. А главное, что доверять? Если это опен сорсная CMS, то и доверять вроде как нечего, как и если это скачанный откуда то плагин или модуль. Другое дело если вы написали скрипт например форум, или чат, или опять же CMS и хотите его продать, а не дать в свободный доступ. То тут согласен каждый сто раз подумает перед тем как его заливать на какой то сайт. Мы подошли к тому, что сервис платный. Да платный, но вы сами решаете платить или нет, по результатам сканирования (общий отчет выдается бесплатно!). И сканировать вы можете пока не починете все дырки и не получите отчет, что все в порядке. Ну, а если не хотите копаться в коде сами, то можете отправить смс и получить детальный отчет.
Я смысла не вижу, как в сервисах подобных, так и скрипты некоторые прикручивают для защиты. Нужно просто изначально писать не через ж. Если уж пользоваться чужим руками можно проверить за 5 мин фильтруется ли форма или нет... + есть программы которые тестирует уже на выходе сайт, не только xss, но и sql inj итд
Invision данная штука довольно полезна для новичков, хотя возможны и ложные срабатывания, и потому я бы посоветовал inventor выводить краткую информацию о возможных проблемных местах (номер строки, участок кода и краткое описание) бесплатно. в противном случае данный сервисом никто даже пользоваться не будет (имхо). а если пытаться заработать, то за оплату нужно будет уже выводить полную информацию не только об ошибке, но и описание риска, возможные пути устранения, советы и прочее. я это к тому, что даже самый навороченный алгоритм не сможет проследить логику работы приложения лишь по одному скрипту, если используется, к примеру, MVC. А платить за ложные срабатывания...
Просто или тяжело найти уязвимости вопрос сложный. Ведь постоянно какой то ресурс взламывают, недавно сайт mysql взломали, а там не новички сидят. Я веду статистику по сканированиям, логируя размер загруженного архива и количество найденных уязвимостей.. По этой статистике получается, что в 8 из 10 скриптов более 1мб есть уязвимости. И пользу от скрипта вижу довольно большую, особенно для новичков. Gromo спасибо, за то, что видите это. По поводу адекватности результатов. Ошибки есть, но это не 30-40%, а процентов 10. До недавнего дня при регистрации пользователи получали день сканирования бесплатно. И жалоб по этому поводу, можно сказать не было. Я сделаю на неделю, демо показ результатов сканирования (первые две уязвимости), думаю до завтра успею сделать. Может быть так все и оставлю в виде ознакомления.