Тестирование проекта webEDO
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Тестирование проекта webEDO - 2011-09-14 11:56:15.200000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
http://demo.webedo.ru
логин: demo
пароль: demo123
CMSка для работы с проектами, документами, видеоконференцией, почтой и личным сайтом.
Пожелания и советы можете присылать по адресу: support@webedo.ru
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-14 13:26:11.973333
|
|
|
Те0ретик
Сообщений: 582
Оценки: 0
Присоединился: 2011-05-27 18:51:35.616666
|
Очень достойно.
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 00:51:29.873333
|
|
|
bob3r
Сообщений: 67
Оценки: 0
Присоединился: 2011-06-03 02:30:17.840000
|
Реакция на XSS при добавлении работы в проект -
У вас нет прав на добавление работ в этом проекте.
В целом - XSS-ка не прокатила (чтохорошо), но и реакция неверная.
Пассивная XSS вида <IMG SRC="javascript:alert('XSS');">
При вставке картинки в переписку раздела контакты.
см. http://ha.ckers.org/xss.html прокатит в IE6 и Opera, то есть далеко не везде.
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 01:39:31.980000
|
|
|
bob3r
Сообщений: 67
Оценки: 0
Присоединился: 2011-06-03 02:30:17.840000
|
Использование кавычки в парамере q
http://demo.webedo.ru/published/WG/show.php?q=REVNTy5XRUJFRE8uUlU=-b33444%278c9bbd39&mode=preview&file=MzA=&download=1&W=FL
Приводит к ошибке
Fatal error: Cannot use object of type DB_Error as array in /var/www/sub/main/www/published/WG/html/scripts/swidget_load.php on line 11
Есть подозрение на слепую SQL-инъекцию.
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 10:44:59.970000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
quote:
ORIGINAL: bob3r
Использование кавычки в парамере q
http://demo.webedo.ru/published/WG/show.php?q=REVNTy5XRUJFRE8uUlU=-b33444%278c9bbd39&mode=preview&file=MzA=&download=1&W=FL
Приводит к ошибке
Fatal error: Cannot use object of type DB_Error as array in /var/www/sub/main/www/published/WG/html/scripts/swidget_load.php on line 11
Есть подозрение на слепую SQL-инъекцию.
Спасибо, исправили.
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 10:46:03.880000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
quote:
ORIGINAL: bob3r
Реакция на XSS при добавлении работы в проект -
У вас нет прав на добавление работ в этом проекте.
В целом - XSS-ка не прокатила (чтохорошо), но и реакция неверная.
А какая должна быть реакция?
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 10:48:28.910000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
quote:
ORIGINAL: bob3r
Пассивная XSS вида <IMG SRC="javascript:alert('XSS');">
При вставке картинки в переписку раздела контакты.
см. http://ha.ckers.org/xss.html прокатит в IE6 и Opera, то есть далеко не везде.
Спасибо, исправили.
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-15 20:09:05.403333
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
XSS
http://demo.webedo.ru/published/MM/html/scripts/mailmaster.php?action=msgList&mailbox=%22%3E%3Cscript%3Ealert()%3C/script%3E#
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-16 22:29:04.820000
|
|
|
bob3r
Сообщений: 67
Оценки: 0
Присоединился: 2011-06-03 02:30:17.840000
|
quote:
А какая должна быть реакция?
Про реакцию - не к описанной проблеме, а вообще.
Надо на сообщения об ошибках реагировать по другому, используя страницы ошибок.
В логах (логах php), вы всё равно увидите в чём же заключалась ошибка, а пользоватею не надо показывать.
См. http://www.php.net/manual/en/function.set-error-handler.php
а также параметры в php.ini
display_errors = off
log_errors = on отдельно по месту хранения логов.
error_log = /var/log/php.error.log (запись в файл)
error_log = syslog (передаётся системному регистратору - то есть снова в /var)
и если /var и корень (/) или место где находятся файлы базы данных являются одним разделом, то машину можно уронить или значительно затормозить - переполнить лог, заполнив раздел с корнем и /var до отказа. Просто нагенерировать кучу ошибок, лог станет огромным, а сервер тормозным. Если логи предполагается просматривать раз в месяц, и замечено что они растут быстро, то надо их писать в отдельный раздел, не в тот где работает сама система или база данных. Это маловероятный вектор, но всё же вектор.
Зачем надо не выводить сообщения интерпретатора.
Вот например, использовал я кавычку. А мне в ответ:
Fatal error: Cannot use object of type DB_Error as array in /var/www/sub/main/www/published/WG/html/sсriрts/swidget_load.php on line 11
Сразу понятно - что кавычка повлияла за запрос к базе данных (вероятно), наметился вектор атаки - SQL инъекция. Тут же видна сруктура каталогов и вызываемый класс swidget_load.php.
А если бы в качестве реакции на ошибку меня перекинуло на стратовую страницу или на сообщение:
quote:
Возникла непредвиденная ошибка. Перейти к стартовой странице: …ссылка…
То я тоже бы стал подозревать инъекцию SQL кода, но было бы чуть сложнее. Ведь вдруг это Applicaton Firewall дал мне отлуп, и до реальной ошибки дело вообще не дошло, а так сразу понятно - ошибка была. Сейчас через сообщения об ошибках утекают дополнительные сведения.
|
|
|
|
|
RE: Тестирование проекта webEDO - 2011-09-27 07:06:09.750000
|
|
|
martinas
Сообщений: 8
Оценки: 0
Присоединился: 2011-09-13 09:07:20.376666
|
В сентябре запущен новый проект webEDO. Сейчас сайт находится на стадии тестирования. Попробовать проект можно нажав на кнопку “ДЕМО” на сайте: http://www.webedo.ru.
WebEDO – набор приложений для организации работы с проектами, управления документооборотом и электронной коммерции. WebEDO обладает необходимым набором инструментов для построения рабочей среды, как в интернете, так и в интрасети. WebEDO является модульным приложением, каждый модуль работает независимо от других.
В него входят:
- сборщик почты;
- файловое хранилище;
- управление проектами;
- видеоконференции;
- заметки;
- контакты;
- создание и редактирование офисных документов.
Для работы с webEDO нужен только браузер, установленный на любой операционной системе и никакого дополнительного программного обеспечения. Особенность портала – наличие аудио и видеоконференции, с возможностью демонстрировать участникам конференции работу приложений и все то, что происходит у Вас на экране (рабочем столе). Вы можете загружать и демонстрировать любые документы, презентации, видео.
Мы работаем над усовершенствованием webEDO для того, чтобы соответствовать требованиям вашей компании, поэтому мы будем рады узнать любое мнение о продукте. Сообщения высылайте по адресу: support@webedo.ru.
|
|
|
|
|
|
