За последние 24 часа нас посетили 18293 программиста и 1633 робота. Сейчас ищут 1668 программистов ...

Организация на сайте доступа к файлам через ftp

Тема в разделе "PHP и базы данных", создана пользователем battrack, 23 май 2011.

  1. battrack

    battrack Активный пользователь

    С нами с:
    17 фев 2009
    Сообщения:
    16
    Симпатии:
    0
    Стоит такая задача: на сайте будет специальный раздел для партнеров где они смогут, зайдя под своими логинами и паролями получить доступ к списку документов и возможность скачивать их.
    Т.е. все довольно просто: пользователь авторизуется, попадает на страницу со списком файлов и кликая на нужный, качает его. Но в данном решении не устраивает
    тот факт что скачка будет осуществляться по протоколу http. Хотелось бы организовть такой сервис именно через ftp. Чтобы пользователь видел каталоги, подкаталоги, файлы и т.д. Мог качать нужный.
    Админ, соответственно, чтобы имел возможность создавать каталоги и закачивать в них файлы.
    Явно задача известная, распостраненная, но для меня - она является пробелом в знаниях. Вообще понятия не имею каким образом организовывается такое. Существуют ли какие готовые сервисы, которые можно встраивать в свой сайт или же
    скрипты. Или может и вовсе такое самому не сложно написать (язык - php), хотя в этом я сомневаюсь.
    Подскажите как сделать подобное!
     
  2. engager

    engager Активный пользователь

    С нами с:
    21 янв 2009
    Сообщения:
    1.106
    Симпатии:
    1
    тут один только вариант - делать листалку каталогов, и скачивание файла не через прямую ссылку, а через скрипт.
    Думаю, скрипты для пролистываниая контента в браузере на удаленном сервере, найти можно.
     
  3. sasha2011

    sasha2011 Активный пользователь

    С нами с:
    13 июн 2011
    Сообщения:
    3
    Симпатии:
    0
    Адрес:
    Москва
    Кто может дать оценку сканерам yasca, pixy и http://find-xss.net
     
  4. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
  5. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    А вообще спросите как у коммента рейтинг 1000 получилось сделать?
    http://find-xss.net/news/article/version-0-4-0/

    Да какой даун додумался написать тупую функцию на jquery

    http://find-xss.net/index.php?ajax=yes& ... &vote=1000

    module_id - ид модуля
    object_id - id объекта т.е ид статьи
    vote=1000 - плюсуем любой коммент любым числом

    если запустить скрипт в цикле можно просто на 10 лет вперед проголосовать.

    Сука сайт от XSS у самих после авторизации пароль в открытом виде в куках лежит. Когда же вас всех там раком нагнут
     
  6. inventor

    inventor Активный пользователь

    С нами с:
    14 июн 2011
    Сообщения:
    3
    Симпатии:
    0
    Оправдываться не буду, просто все починил. Особенно за куки обидно, сам не знаю как упустил. Но теперь сканер отслеживает это. А насчет раком, это вы зря сервис то полезный.
     
  7. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    ну да я бы тоже чужие исходники п%здел) рановато вы решили деньги на проекте мутить..
     
  8. inventor

    inventor Активный пользователь

    С нами с:
    14 июн 2011
    Сообщения:
    3
    Симпатии:
    0
    Насчет исходников мне нечего сказать, больная тема. Тут каждый должен для себя решить, доверять или нет. А главное, что доверять? Если это опен сорсная CMS, то и доверять вроде как нечего, как и если это скачанный откуда то плагин или модуль. Другое дело если вы написали скрипт например форум, или чат, или опять же CMS и хотите его продать, а не дать в свободный доступ. То тут согласен каждый сто раз подумает перед тем как его заливать на какой то сайт. Мы подошли к тому, что сервис платный. Да платный, но вы сами решаете платить или нет, по результатам сканирования (общий отчет выдается бесплатно!). И сканировать вы можете пока не починете все дырки и не получите отчет, что все в порядке. Ну, а если не хотите копаться в коде сами, то можете отправить смс и получить детальный отчет.
     
  9. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    Я смысла не вижу, как в сервисах подобных, так и скрипты некоторые прикручивают для защиты. Нужно просто изначально писать не через ж. Если уж пользоваться чужим руками можно проверить за 5 мин фильтруется ли форма или нет... + есть программы которые тестирует уже на выходе сайт, не только xss, но и sql inj итд
     
  10. Gromo

    Gromo Активный пользователь

    С нами с:
    24 май 2010
    Сообщения:
    2.786
    Симпатии:
    2
    Адрес:
    Ташкент
    Invision
    данная штука довольно полезна для новичков, хотя возможны и ложные срабатывания, и потому я бы посоветовал inventor выводить краткую информацию
    о возможных проблемных местах (номер строки, участок кода и краткое описание) бесплатно.
    в противном случае данный сервисом никто даже пользоваться не будет (имхо).

    а если пытаться заработать, то за оплату нужно будет уже выводить полную информацию не только об ошибке,
    но и описание риска, возможные пути устранения, советы и прочее.

    я это к тому, что даже самый навороченный алгоритм не сможет проследить логику работы приложения
    лишь по одному скрипту, если используется, к примеру, MVC. А платить за ложные срабатывания...
     
  11. inventor

    inventor Активный пользователь

    С нами с:
    14 июн 2011
    Сообщения:
    3
    Симпатии:
    0
    Просто или тяжело найти уязвимости вопрос сложный. Ведь постоянно какой то ресурс взламывают, недавно сайт mysql взломали, а там не новички сидят. Я веду статистику по сканированиям, логируя размер загруженного архива и количество найденных уязвимостей.. По этой статистике получается, что в 8 из 10 скриптов более 1мб есть уязвимости. И пользу от скрипта вижу довольно большую, особенно для новичков. Gromo спасибо, за то, что видите это.
    По поводу адекватности результатов. Ошибки есть, но это не 30-40%, а процентов 10. До недавнего дня при регистрации пользователи получали день сканирования бесплатно. И жалоб по этому поводу, можно сказать не было.
    Я сделаю на неделю, демо показ результатов сканирования (первые две уязвимости), думаю до завтра успею сделать. Может быть так все и оставлю в виде ознакомления.