Тестирование проекта webEDO
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Тестирование проекта webEDO - 2011-09-14 11:56:15.200000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
http://demo.webedo.ru логин: demo пароль: demo123 CMSка для работы с проектами, документами, видеоконференцией, почтой и личным сайтом. Пожелания и советы можете присылать по адресу: support@webedo.ru
|
|
|
RE: Тестирование проекта webEDO - 2011-09-14 13:26:11.973333
|
|
|
Те0ретик
Сообщений: 582
Оценки: 0
Присоединился: 2011-05-27 18:51:35.616666
|
Очень достойно.
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 00:51:29.873333
|
|
|
bob3r
Сообщений: 67
Оценки: 0
Присоединился: 2011-06-03 02:30:17.840000
|
Реакция на XSS при добавлении работы в проект - У вас нет прав на добавление работ в этом проекте. В целом - XSS-ка не прокатила (чтохорошо), но и реакция неверная. Пассивная XSS вида <IMG SRC="javascript:alert('XSS');"> При вставке картинки в переписку раздела контакты. см. http://ha.ckers.org/xss.html прокатит в IE6 и Opera, то есть далеко не везде.
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 01:39:31.980000
|
|
|
bob3r
Сообщений: 67
Оценки: 0
Присоединился: 2011-06-03 02:30:17.840000
|
Использование кавычки в парамере q http://demo.webedo.ru/published/WG/show.php?q=REVNTy5XRUJFRE8uUlU=-b33444%278c9bbd39&mode=preview&file=MzA=&download=1&W=FL Приводит к ошибке Fatal error: Cannot use object of type DB_Error as array in /var/www/sub/main/www/published/WG/html/scripts/swidget_load.php on line 11 Есть подозрение на слепую SQL-инъекцию.
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 10:44:59.970000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
quote:
ORIGINAL: bob3r Использование кавычки в парамере q http://demo.webedo.ru/published/WG/show.php?q=REVNTy5XRUJFRE8uUlU=-b33444%278c9bbd39&mode=preview&file=MzA=&download=1&W=FL Приводит к ошибке Fatal error: Cannot use object of type DB_Error as array in /var/www/sub/main/www/published/WG/html/scripts/swidget_load.php on line 11 Есть подозрение на слепую SQL-инъекцию. Спасибо, исправили.
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 10:46:03.880000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
quote:
ORIGINAL: bob3r Реакция на XSS при добавлении работы в проект - У вас нет прав на добавление работ в этом проекте. В целом - XSS-ка не прокатила (чтохорошо), но и реакция неверная. А какая должна быть реакция?
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 10:48:28.910000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
quote:
ORIGINAL: bob3r Пассивная XSS вида <IMG SRC="javascript:alert('XSS');"> При вставке картинки в переписку раздела контакты. см. http://ha.ckers.org/xss.html прокатит в IE6 и Opera, то есть далеко не везде. Спасибо, исправили.
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 20:09:05.403333
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
XSS http://demo.webedo.ru/published/MM/html/scripts/mailmaster.php?action=msgList&mailbox=%22%3E%3Cscript%3Ealert()%3C/script%3E#
|
|
|
RE: Тестирование проекта webEDO - 2011-09-16 22:29:04.820000
|
|
|
bob3r
Сообщений: 67
Оценки: 0
Присоединился: 2011-06-03 02:30:17.840000
|
quote:
А какая должна быть реакция? Про реакцию - не к описанной проблеме, а вообще. Надо на сообщения об ошибках реагировать по другому, используя страницы ошибок. В логах (логах php), вы всё равно увидите в чём же заключалась ошибка, а пользоватею не надо показывать. См. http://www.php.net/manual/en/function.set-error-handler.php а также параметры в php.ini display_errors = off
log_errors = on отдельно по месту хранения логов.
error_log = /var/log/php.error.log (запись в файл)
error_log = syslog (передаётся системному регистратору - то есть снова в /var)
и если /var и корень (/) или место где находятся файлы базы данных являются одним разделом, то машину можно уронить или значительно затормозить - переполнить лог, заполнив раздел с корнем и /var до отказа. Просто нагенерировать кучу ошибок, лог станет огромным, а сервер тормозным. Если логи предполагается просматривать раз в месяц, и замечено что они растут быстро, то надо их писать в отдельный раздел, не в тот где работает сама система или база данных. Это маловероятный вектор, но всё же вектор. Зачем надо не выводить сообщения интерпретатора. Вот например, использовал я кавычку. А мне в ответ: Fatal error: Cannot use object of type DB_Error as array in /var/www/sub/main/www/published/WG/html/sсriрts/swidget_load.php on line 11 Сразу понятно - что кавычка повлияла за запрос к базе данных (вероятно), наметился вектор атаки - SQL инъекция. Тут же видна сруктура каталогов и вызываемый класс swidget_load.php. А если бы в качестве реакции на ошибку меня перекинуло на стратовую страницу или на сообщение: quote:
Возникла непредвиденная ошибка. Перейти к стартовой странице: …ссылка… То я тоже бы стал подозревать инъекцию SQL кода, но было бы чуть сложнее. Ведь вдруг это Applicaton Firewall дал мне отлуп, и до реальной ошибки дело вообще не дошло, а так сразу понятно - ошибка была. Сейчас через сообщения об ошибках утекают дополнительные сведения.
|
|
|
RE: Тестирование проекта webEDO - 2011-09-27 07:06:09.750000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
В сентябре запущен новый проект webEDO. Сейчас сайт находится на стадии тестирования. Попробовать проект можно нажав на кнопку “ДЕМО” на сайте: http://www.webedo.ru. WebEDO – набор приложений для организации работы с проектами, управления документооборотом и электронной коммерции. WebEDO обладает необходимым набором инструментов для построения рабочей среды, как в интернете, так и в интрасети. WebEDO является модульным приложением, каждый модуль работает независимо от других. В него входят: - сборщик почты; - файловое хранилище; - управление проектами; - видеоконференции; - заметки; - контакты; - создание и редактирование офисных документов. Для работы с webEDO нужен только браузер, установленный на любой операционной системе и никакого дополнительного программного обеспечения. Особенность портала – наличие аудио и видеоконференции, с возможностью демонстрировать участникам конференции работу приложений и все то, что происходит у Вас на экране (рабочем столе). Вы можете загружать и демонстрировать любые документы, презентации, видео. Мы работаем над усовершенствованием webEDO для того, чтобы соответствовать требованиям вашей компании, поэтому мы будем рады узнать любое мнение о продукте. Сообщения высылайте по адресу: support@webedo.ru.
|
|
|
|
|