Avatar
Pavel Junek
Redaktor
Avatar
Pavel Junek:

Ahoj, rozhodl jsem se, že si zkusím vytvořit vlastní redakční systém, na kterém bych později možná postavil nějaké své weby. Systém umí třídit články do kategorií, nahrávat fotky do alb, má uživatelské role a seznam všech uživatelů. Je to můj první takovýhle projekt, ale myslím si, že je docela dobrý (doufám, že nejsem jediný, kdo si to myslí :)).
Ještě bych vás rád poprosil, jestli byste mi nepomohli najít nějaké bezpečnostní díry (já už o žádné nevím).
Účet s redaktorskými právy je qqq a heslo je taky qqq. Pokud budete chtít práva moderátora, nebo admina, tak mi napište sem, nebo přímo v systému (to bych totiž nerad dával úplně veřejně a každému).

 
Odpovědět 11.8.2014 17:56
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Odpovídá na Pavel Junek
Matúš Petrofčík:

"*Název alba pište BEZ HÁČKŮ A ČÁREK!" :D a aj tak som vytvoril album s názvom Auťáky

chcelo by to pekné url, alebo aspoň schovať .php

Nahoru Odpovědět  +2 11.8.2014 18:25
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

Ve fotogalerii nemáš ošetřenou proměnou vypis, viz obrazek

Nahoru Odpovědět 11.8.2014 18:27
2x piš, jednou debuguj
Avatar
hanpari
Redaktor
Avatar
hanpari:

Tak jak to je? :)

Zažádat o vyšší práva
Vaše žádost byla schválena
Vaše žádost se vyřizuje

Mimochodem, co kdybych jako zákazník chtěl, aby tam byl překlad systému například do francouzštiny? Poradíš si s tím?

Editováno 11.8.2014 18:30
 
Nahoru Odpovědět  +2 11.8.2014 18:29
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Nahoru Odpovědět  +1 11.8.2014 18:32
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Můžu se zeptat, proč je moje IP v blacklistu?

 
Nahoru Odpovědět 11.8.2014 18:34
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Odpovídá na Filip Šohajek
Matúš Petrofčík:

karma? :)

možno ťa blokuje moxo, mňa tak tiež raz blokovali a neviem prečo

Nahoru Odpovědět 11.8.2014 18:35
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

Chyb je tam ještě více spíš ten systém přejmenuj na děresys :D

Nahoru Odpovědět 11.8.2014 18:39
2x piš, jednou debuguj
Avatar
Josef Kuchař (Pepa489):

Mám dojem, že tento systém je napsaný podle článku NERS

Nahoru Odpovědět 11.8.2014 18:44
2x piš, jednou debuguj
Avatar
hanpari
Redaktor
Avatar
Odpovídá na Pavel Junek
hanpari:

To chce pevné nervy sem dát jakýkoliv projekt.
Já bych tu odvahu neměl :) Chyby se najdou všude, zbytečně se ze vší té kritiky nenervuj.
Nic není dokonalé. A když je to dokonalé, je to zastaralé :)

 
Nahoru Odpovědět 11.8.2014 19:46
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

Kritická chyba: Vytvoříte si učet(bez práv) a změníme url na

http://neresys.moxo.cz/uzivatele.php?odstranit=id

id dejte na číslo uživatele kterého chcete odstranit

Nahoru Odpovědět 12.8.2014 8:16
2x piš, jednou debuguj
Avatar
IT Man
Redaktor
Avatar
IT Man:

Web se mi velmi líbí. Všechno je hezké až na ty odkazy. Ty bych ještě trochu upravil :) ... fakt hezký web, ale nikde jsem se nedočetl o čem je? A ve fotogalerii, když klikneš na auťáky, mi to vypíše chybu. To je asi tak vše ode mě.

Nahoru Odpovědět  -1 12.8.2014 8:49
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Pavel Junek:

A já si jsem si řikal, kam zmizel můj účet :)

Podle NERS jsem se učil, ale tohle jsem psal sám, podle toho, co jsem se naučil.

Děresys? :) mohl by jsi být konkrétnější?

 
Nahoru Odpovědět 12.8.2014 9:02
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na IT Man
Pavel Junek:

Web ještě není o ničem. Je to redakční systém, který jsem sem dal, abych zjistil chyby a nedostatky a potom na něm mohl postavit nějaký svůj web. Fotogalerii teď řeším, protože tam je chyb víc, ale opravím to asi až zejtra, protože za chvíli odjíždím pryč :)

 
Nahoru Odpovědět 12.8.2014 9:12
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na hanpari
Pavel Junek:
Nic není dokonalé. A když je to dokonalé, je to zastaralé :)

to mě pobavilo, ale asi to je pravda.
Já se nenervuju :) dal jsem to sem, tak s kritikou musím počítat (ono se to taky tady jmenuje kritika webů :) ) a jsem rád za každou objevenou chybu (třeba tu od Josef Kuchař (Pepa489)).

Kdybych uměl francouzky, tak bych si s tím asi poradil.

Zažádat o vyšší práva
Vaše žádost byla schválena
Vaše žádost se vyřizuje

První žádost byla schválena, druhá se vyřizuje: )

Editováno 12.8.2014 9:22
 
Nahoru Odpovědět 12.8.2014 9:19
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

sry za ty uživatele co jsem tam udělal(testoval jsem to burpsuitem)

Nahoru Odpovědět 12.8.2014 9:20
2x piš, jednou debuguj
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

Jo a jo a de na to útočit SQL Truncation Attackem viz soom.cz: http://www.soom.cz/…knout-SOOMcz

Nahoru Odpovědět  +1 12.8.2014 9:25
2x piš, jednou debuguj
Avatar
hanpari
Redaktor
Avatar
Odpovídá na Pavel Junek
hanpari:

S tou francouzštinou to byl příklad, stejně dobře to mohla být ruština nebo čínština. Nejde o znalost jazyka, ale připravenost systému na jazykové mutace. To jsem měl na mysli.

 
Nahoru Odpovědět 12.8.2014 11:22
Avatar
IT Man
Redaktor
Avatar
Odpovídá na Pavel Junek
IT Man:

Ty jo, mě se to tady zatím nepovedlo rozjet (to NERS) a koukám, že ono se to dá. Jsem přehlédl, že to je z NERSu. Tak ti přeji hodně štěstí s prací :)

Nahoru Odpovědět 12.8.2014 12:33
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Matúš Petrofčík:

Ja si ťa niekde uložím a až budem potrebovať niečo testovať, tak ti napíšem :D vidím že sa v tom hľadaní chýb vyznáš

Nahoru Odpovědět 12.8.2014 13:28
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Jo, a ta momentální nefunkčnost přihlášení je tvá práce, nebo se mi povedl buffer overflow?
//EDIT: Aha, je tam redirect

Editováno 12.8.2014 19:56
 
Nahoru Odpovědět 12.8.2014 19:54
Avatar
IT Man
Redaktor
Avatar
IT Man:

Vytvořil jsem album Lodě i s háčkem a funguje to. A trochu chyba - když nenahraješ žádný obrázek, zobrazí se ti:

Bylo nahráno 0 z 1 obrázků.
Nahoru Odpovědět 13.8.2014 8:18
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Pavel Junek
Redaktor
Avatar
Pavel Junek:

Všechny chyby, o kterých jste mi napsali a na které jsem ještě přišel sám jsem už opravil. Takže galerie už funguje normálně, žádosti o práva taky. Všechny chyby, co našel Pepa jsem taky opravil. A teď bych vás rád poprosil, abyste web navštívili ještě jednou a podívali se (hlavně Josef Kuchař (Pepa489), který vždycky něco najde :) ), jestli jsem tam při upravování neudělal nějakou další chybu.

 
Nahoru Odpovědět 13.8.2014 14:48
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na IT Man
Pavel Junek:

funguje, ale ne na všech zařízení

 
Nahoru Odpovědět 13.8.2014 14:49
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

Není to sice přímo chyba, ale při registraci se antispam nemění

Nahoru Odpovědět 13.8.2014 14:58
2x piš, jednou debuguj
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Matúš Petrofčík:

ja by som chcel vidieť kód php :D

Nahoru Odpovědět  +1 13.8.2014 15:04
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Pavel Junek
Redaktor
Avatar
Pavel Junek:

To Josef Kuchař (Pepa489): už ne :)

To Matúš Petrofčík: a sakra, to dopadne špatně :) Jak to chceš poslat?

 
Nahoru Odpovědět 13.8.2014 16:00
Avatar
IT Man
Redaktor
Avatar
Odpovídá na Pavel Junek
IT Man:

Aha. Ale mohl by jsi změnit ty odkazy. Mně ty default odkazy (modré s podtržením) strašně vadí. Teda aspoň mně, udělej si to jak chceš, ale já bych to udělal nějak, aby to ladilo se vzhledem. :)

Nahoru Odpovědět 13.8.2014 16:45
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na IT Man
Pavel Junek:

Modré odkazy? Pošli screen. U mě jsou bílé a po najetí s oranžovým pozadím (viz screen)

 
Nahoru Odpovědět 13.8.2014 17:00
Avatar
Filip Šohajek
Redaktor
Avatar
Filip Šohajek:

Stává se to jen mně, nebo když zaregistruju uživatele se jménem, které má v sobě jen 3000 nepřerušovatelných mezer (Non-breaking space), tak se systém sekne a nechce mě přihlásit? :)
Mimochodem je tam CSRF. Všude

 
Nahoru Odpovědět 13.8.2014 17:00
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Myslí všechny ostatní odkazy (na obrázku např. DELETE)

 
Nahoru Odpovědět  +1 13.8.2014 17:03
Avatar
Nahoru Odpovědět 13.8.2014 17:11
2x piš, jednou debuguj
Avatar
IT Man
Redaktor
Avatar
Odpovídá na Pavel Junek
IT Man:

MYslím např. to DELETE co tu padlo. Neladí mi to se vzhledem. Takový obyčejný :)

Nahoru Odpovědět 13.8.2014 17:12
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Filip Šohajek:

No, není to chyba, spíš by to byla, kdyby tu byla možnost skrytých galerií a toto by je zobrazilo. Stejného chování docílíš pomocí prázdné hodnoty
//EDIT: Až teď jsem si všimnul, že je tam k tomu dir listing : http://neresys.moxo.cz/img/

Editováno 13.8.2014 17:16
 
Nahoru Odpovědět 13.8.2014 17:15
Avatar
Odpovídá na Filip Šohajek
Josef Kuchař (Pepa489):

No ano, ale útočník si pak může stáhnout textury webu, to by se mělo ošetřit

Nahoru Odpovědět 13.8.2014 17:17
2x piš, jednou debuguj
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Filip Šohajek:

No, ty obrázky na pozadí ti stáhnu i lepší cestou :)
http://neresys.moxo.cz/img/orange.png

Editováno 13.8.2014 17:19
 
Nahoru Odpovědět 13.8.2014 17:18
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na IT Man
Pavel Junek:

Aha, a jak bys to udělal ty? Mě teď zrovna nic moc nenapadá, aby to bylo hezký a zároveň se to tam hodilo.

 
Nahoru Odpovědět 13.8.2014 17:20
Avatar
Odpovídá na Filip Šohajek
Josef Kuchař (Pepa489):

Já vím, ale tady jde o princip, co kdyby tam bylo něco důležitějšího co nejde stáhnout přímo

Nahoru Odpovědět 13.8.2014 17:20
2x piš, jednou debuguj
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Filip Šohajek:

To tam píšu. Jinak je to jen hezky graficky ztvárněný dir listing bez názvů složek s náhledy obrázků :)

 
Nahoru Odpovědět 13.8.2014 17:21
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Matúš Petrofčík:

jak to myslíš "stáhnout textury webu" ??? to predsa musí byť povolené aby sa tie textury zobrazili v prehliadači nie? horšie by bolo ak by mohol stiahnuť zoznam súborov ktoré tam sú a následne vyčítať ich obsah

Nahoru Odpovědět 13.8.2014 17:22
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Odpovídá na Pavel Junek
Josef Kuchař (Pepa489):

oddělat podtržení a nastavit odkazy oranžově :)

Nahoru Odpovědět 13.8.2014 17:22
2x piš, jednou debuguj
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Matúš Petrofčík
Filip Šohajek:

No, řekl to trochu špatně. Myslel obrázky na pozadí.

 
Nahoru Odpovědět 13.8.2014 17:23
Avatar
IT Man
Redaktor
Avatar
Odpovídá na Pavel Junek
IT Man:

Napadlo mě to udělat černé, ale i s podtržením. Můžeš to zkusit. Bude to hezké s textem. A když na to někdo najede s myší, zesvětlá to. Takhle bych to udělal já, je to na tobě. :)

Nahoru Odpovědět 13.8.2014 17:23
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Filip Šohajek:

No, možná jsi měl pravdu. Stačila chvilka a mám seznam souborů v rootu webu

 
Nahoru Odpovědět  +1 13.8.2014 17:24
Avatar
Pavel Junek
Redaktor
Avatar
Pavel Junek:

Tak odkazy jsem nakonec udělal šedé ithalic, a při najetí oranžové

 
Nahoru Odpovědět 13.8.2014 17:37
Avatar
Pavel Junek
Redaktor
Avatar
Avatar
Nahoru Odpovědět 13.8.2014 17:39
2x piš, jednou debuguj
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Filip Šohajek:

Ne, není. Pro lepší UX je dobré ukázat uživateli, že na odkaz jde kliknout, ne jako prostý text. Byl bych pro podtřžení, v menu to nechat.

 
Nahoru Odpovědět 13.8.2014 17:45
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Josef Kuchař (Pepa489)
Filip Šohajek:

Jo, dá se přes to dojít i na to, kolik souborů má přibližně v IDE (NetBeans) otevřených :) Pro více informací, jedná se o útok Directory Traversal.

Editováno 13.8.2014 17:48
 
Nahoru Odpovědět 13.8.2014 17:48
Avatar
Filip Šohajek
Redaktor
Avatar
Filip Šohajek:

Ááááá... k tomu máme další, né tak závažnou, ale spíše otravnou, kde pomocí názvu galerie se dají vytvářet složky

 
Nahoru Odpovědět 13.8.2014 17:51
Avatar
Odpovídá na Filip Šohajek
Josef Kuchař (Pepa489):

Jen pro připomenutí když klikneš pravím tlačítkem a dáš uložit obrázek, můžes si stáhnou např soubor php

Nahoru Odpovědět 13.8.2014 17:52
2x piš, jednou debuguj
Avatar
Pavel Junek
Redaktor
Avatar
Pavel Junek:

tak a máte po ptákách :)

 
Nahoru Odpovědět 13.8.2014 17:53
Avatar
Nahoru Odpovědět 13.8.2014 17:55
Nesnáším {}, proto se jim vyhýbám.
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Michal Žůrek (misaz)
Pavel Junek:

už se stalo - nebo to furt jde?

 
Nahoru Odpovědět 13.8.2014 17:56
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Ne, PHP soubory se vytváří a zůstávají na serveru
No, teď ještě to vytváření složek :)

 
Nahoru Odpovědět 13.8.2014 17:57
Avatar
Odpovídá na Pavel Junek
Michal Žůrek (misaz):

myslel jsem spíš kdy to znova pustíš, tentokrát bez té bezpečnostní díry.

Nahoru Odpovědět 13.8.2014 17:58
Nesnáším {}, proto se jim vyhýbám.
Avatar
Pavel Junek
Redaktor
Avatar
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Michal Žůrek (misaz)
Pavel Junek:

Já to upravím na localhostu a pak to zrovna zkopíruju na server.

 
Nahoru Odpovědět 13.8.2014 17:59
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Ještě říkám, abys opravil tu díru s vytvářením složek pomocí názvu fotogalerie. Když zadáš jako název ../HelloWorld , tak se ti v kořenu webu objeví složka HelloWorld. Není to díra, alle kdyby si někdo napsal skript, který by složky dělal automaticky, tak bys asi nebyl rád. :)

 
Nahoru Odpovědět 13.8.2014 18:00
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Filip Šohajek
Pavel Junek:

to ještě jde? javascriptem povoluju pouze alfanumerické znaky už při psaní a pak to ještě ověřuju php:

ctype_alnum($_POST['album'])
 
Nahoru Odpovědět 13.8.2014 18:08
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Ne to samé. Vytvoř si galerii s názvem ../Hellodasdasd a nahrej do ní obrázky. Potom jdi FTPčkem do kořenu webu, a uvidíš složku Hellodasdasd + ohledně JS -> každý prohlížeč má vývojářské nástroje

Editováno 13.8.2014 18:11
 
Nahoru Odpovědět 13.8.2014 18:10
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Filip Šohajek
Pavel Junek:

Tak jsem vypnul JS a zkusil to - nic se nikde nevytvoří, ale asi tam dám nějako error hlášku, aby to bylo jasný

 
Nahoru Odpovědět 13.8.2014 18:19
Avatar
IT Man
Redaktor
Avatar
IT Man:

A už by jsi měl konečně napsat o čem je ten web, když už je snad vše v pohodě. :)

Nahoru Odpovědět 13.8.2014 19:00
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Nahoru Odpovědět 13.8.2014 19:02
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Matúš Petrofčík
Pavel Junek:

To je proto, že jsem povolil jen alfanumerické znaky, takže teď už nic s diaktrikou fungovat nebude

 
Nahoru Odpovědět 13.8.2014 19:12
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na IT Man
Pavel Junek:

Web je na představení systému Neresys. Dám příklad: někdo ode mě bude chtít, abych mu udělal web - já mu pošlu odkaz na Neresys - když se mu bude líbit, udělám mu web na stejném/podobném principu :) . Ale nevylučuju, že z něj někdy udělám nějaký web s pořádným obsahem, třeba konkurenční síť pro ITnetwork :D - no dobře, to zase ne :) , ale třeba nějaký moje portfolio

 
Nahoru Odpovědět 13.8.2014 19:18
Avatar
IT Man
Redaktor
Avatar
Odpovídá na Pavel Junek
IT Man:

Tak by jsi měl ukázat možnosti textu. Vyznačení, obrázky, odkazy... prostě vše. :) Za kolik by si ho udělal? :D

Nahoru Odpovědět 13.8.2014 19:26
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
Pavel Junek
Redaktor
Avatar
 
Nahoru Odpovědět 13.8.2014 21:39
Avatar
Filip Šohajek
Redaktor
Avatar
Odpovídá na Pavel Junek
Filip Šohajek:

Ahoj, chtěl jsem ti to napsat už včera, ale máš tam ještě CSRF (Cross Site Request Forgery)

 
Nahoru Odpovědět 14.8.2014 17:34
Avatar
Pavel Junek
Redaktor
Avatar
Odpovídá na Filip Šohajek
Pavel Junek:

Ahoj, já vím, už to tady někdo psal, ale ještě jsem to neopravil (nepřijde mi to jako nějaká veliká chyba, takže jsem dal přednost těm ostatním)

 
Nahoru Odpovědět 14.8.2014 19:11
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 75 zpráv z 75.