banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Kiểm tra bảo mật Nhờ kiểm tra giùm website này  XML
  [Question]   Nhờ kiểm tra giùm website này 22/03/2007 05:41:18 (+0700) | #1 | 48417
[Avatar]
conmeomeo
Member

[Minus]    0    [Plus]
Joined: 13/01/2007 23:39:46
Messages: 28
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chào các bằng hữu gần xa sau một thời gian dài nâng cấp và phát triển đệ đã hoàn thiện được một hệ thống Tool website của riêng mình. Đệ cũng có biết một số chiêu để bảo vệ website (mấy chiêu này đọc được trên mạng) chắc toàn là chiêu cơ bản, nếu cao thủ nào có khả năng xin vui lòng ra tay kiểm tra thử xem cái web của đệ có lòi lỗi ra không.
Nếu có lỗi xin các huynh thông báo sớm để đệ Fix nó và cập nhật liền chứ không thôi tiêu luôn cái web này của đệ.
Xin chân thành cảm ơn các huynh đệ gần xa trước.
http://www.plyvn.com
Xác nhận chủ quyền:
http://www.plyvn.com/request.html
www.SanGiaoDichWeb.com
[Up] [Print Copy]
  [Question]   Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 22/03/2007 05:54:49 (+0700) | #2 | 48418
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

conmeomeo wrote:
Chào các bằng hữu gần xa sau một thời gian dài nâng cấp và phát triển đệ đã hoàn thiện được một hệ thống Tool website của riêng mình. Đệ cũng có biết một số chiêu để bảo vệ website (mấy chiêu này đọc được trên mạng) chắc toàn là chiêu cơ bản, nếu cao thủ nào có khả năng xin vui lòng ra tay kiểm tra thử xem cái web của đệ có lòi lỗi ra không.
Nếu có lỗi xin các huynh thông báo sớm để đệ Fix nó và cập nhật liền chứ không thôi tiêu luôn cái web này của đệ.
Xin chân thành cảm ơn các huynh đệ gần xa trước.
http://www.plyvn.com
 

Đệ đọc http://hvaonline.net/hvaonline/posts/list/1477.html trước đã nhé.
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 22/03/2007 09:53:08 (+0700) | #3 | 48479
[Avatar]
conmeomeo
Member

[Minus]    0    [Plus]
Joined: 13/01/2007 23:39:46
Messages: 28
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mấy huynh hiểu nhầm rồi cái DTool của đệ là cái website giống như bao nhiêu cái khác thôi có điều mấy cái engine là do đệ tự viết và đặt cho nó cái tên mà thôi, nó là website mà.
http://www.plyvn.com
www.SanGiaoDichWeb.com
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 22/03/2007 10:01:36 (+0700) | #4 | 48482
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

conmeomeo wrote:
Mấy huynh hiểu nhầm rồi cái DTool của đệ là cái website giống như bao nhiêu cái khác thôi có điều mấy cái engine là do đệ tự viết và đặt cho nó cái tên mà thôi, nó là website mà.
http://www.plyvn.com 

Chỉ nhắc đệ đọc quy định muốn được check site thì phải làm gì thôi mà. Như đệ đã đọc kỹ quy định rồi thì sẽ tạo 1 file request.html với nội dung đã ủy quyền cho HVA kiểm tra...
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 22/03/2007 10:08:44 (+0700) | #5 | 48484
kelieumang2
Member

[Minus]    0    [Plus]
Joined: 09/08/2003 00:50:00
Messages: 37
Offline
[Profile] [PM]

gsmth wrote:

conmeomeo wrote:
Mấy huynh hiểu nhầm rồi cái DTool của đệ là cái website giống như bao nhiêu cái khác thôi có điều mấy cái engine là do đệ tự viết và đặt cho nó cái tên mà thôi, nó là website mà.
http://www.plyvn.com 

Chỉ nhắc đệ đọc quy định muốn được check site thì phải làm gì thôi mà. Như đệ đã đọc kỹ quy định rồi thì sẽ tạo 1 file request.html với nội dung đã ủy quyền cho HVA kiểm tra...  

Bạn đã vào xem chưa mà nói chưa thỏa quy định? Nhiều chuyện!
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 22/03/2007 10:29:38 (+0700) | #6 | 48490
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

kelieumang2 wrote:

gsmth wrote:

conmeomeo wrote:
Mấy huynh hiểu nhầm rồi cái DTool của đệ là cái website giống như bao nhiêu cái khác thôi có điều mấy cái engine là do đệ tự viết và đặt cho nó cái tên mà thôi, nó là website mà.
http://www.plyvn.com 

Chỉ nhắc đệ đọc quy định muốn được check site thì phải làm gì thôi mà. Như đệ đã đọc kỹ quy định rồi thì sẽ tạo 1 file request.html với nội dung đã ủy quyền cho HVA kiểm tra...  

Bạn đã vào xem chưa mà nói chưa thỏa quy định? Nhiều chuyện! 

Tôi cũng không muốn quote lại quy định làm gì, nhưng quote lại để bạn kelieumang2 được hay:
I. Quy định gởi thỉnh cầu:
1. Người gởi thỉnh cầu phải chứng minh chủ quyền hệ thống hoặc trang web bằng cách tạo một trang HTML xác nhận chủ quyền và xác nhận ủy quyền nhóm kiểm tra bảo mật của HVA thực hiện các bước kiểm tra. Trang xác nhận chủ quyền cần có một dòng tương tự như sau:

Tôi xác nhận chủ quyền trang web: http://<xyz>.
Tôi, <nick trên HVA> đã tham khảo quy định kiểm tra bảo mật của HVA và xin uỷ quyền nhóm kiểm tra bảo mật HVA kiểm tra trang web này.  

Còn bạn kelieumang2 muốn đọc đầy đủ thì ở đây: /hvaonline/posts/list/1477.html
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 22/03/2007 20:42:42 (+0700) | #7 | 48551
kelieumang2
Member

[Minus]    0    [Plus]
Joined: 09/08/2003 00:50:00
Messages: 37
Offline
[Profile] [PM]
Ngay trang chủ, conmeomeo đã xác nhận chủ quyền rồi mà cậu chưa đọc à?
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 23/03/2007 01:45:45 (+0700) | #8 | 48640
[Avatar]
havythoai
HVA Friend

Joined: 05/04/2004 22:59:39
Messages: 562
Offline
[Profile] [PM] [WWW]

kelieumang2 wrote:
Ngay trang chủ, conmeomeo đã xác nhận chủ quyền rồi mà cậu chưa đọc à? 

Nếu như conmeomeo lười tạo file request.htm ở root web thì HVA cũng lười trong việc check site này. Chứ ko phải vào AdminCP rồi post 1 mẩu tin check, cũng giống như admin site nhà đất gì đó, post request check trong mục mẩu tin nhà đất

[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 23/03/2007 02:05:03 (+0700) | #9 | 48645
kelieumang2
Member

[Minus]    0    [Plus]
Joined: 09/08/2003 00:50:00
Messages: 37
Offline
[Profile] [PM]

havythoai wrote:

kelieumang2 wrote:
Ngay trang chủ, conmeomeo đã xác nhận chủ quyền rồi mà cậu chưa đọc à? 

Nếu như conmeomeo lười tạo file request.htm ở root web thì HVA cũng lười trong việc check site này. Chứ ko phải vào AdminCP rồi post 1 mẩu tin check, cũng giống như admin site nhà đất gì đó, post request check trong mục mẩu tin nhà đất

 

Vậy mục đích của việc tạo file request chẳng phải là để xác nhận chủ quyền hay sao?
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 23/03/2007 03:47:57 (+0700) | #10 | 48666
[Avatar]
havythoai
HVA Friend

Joined: 05/04/2004 22:59:39
Messages: 562
Offline
[Profile] [PM] [WWW]
đúng là việc tạo file request.html là xác định chủ quyền, và conmeomeo ko tạo file request.html. Sao ko làm theo như vậy đi nhỉ smilie)

Nếu post 1 mẩu tin trên trang chủ. Điều này cũng chưa hẳn 100% conmeomeo là chủ quyền host. Nếu như conmeomeo chỉ có user và pass của ứng dung web để login vô post tin tức mà ko có pass FTP thì sao ? (có thể 1 người khác giữ)

Nói chung, tốt nhất cứ làm theo yêu cầu
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 27/03/2007 21:53:04 (+0700) | #11 | 49739
[Avatar]
conmeomeo
Member

[Minus]    0    [Plus]
Joined: 13/01/2007 23:39:46
Messages: 28
Offline
[Profile] [PM] [WWW] [Yahoo!]
Đệ post yêu cầu lên cả tuần mà không biết mình có được check không nữa thì ra vẫn chưa đúng yêu cầu cần kiểm tra vì đọc yêu cầu thấy là cần tạo file yêu cầu trong đó có đoạn ... thì nghĩ chỉ cần trên trang chủ có yêu cầu là được, đâu biết cần phải chứng minh quyền vào FTP nữa.
- Đệ post file yêu cầu nhờ check làm trang chính luôn vậy.
- Đệ làm hệ thống cho công ty này mấy huynh check sớm giùm đệ nếu không lúc chạy thiệt nó chết là tiêu đệ luôn.
- Đệ không rõ chính xác yêu cầu chứ đã nhờ check đệ còn lười làm gì :?smilie
www.SanGiaoDichWeb.com
[Up] [Print Copy]
  [Question]   Re: Có sư phụ nào check cái DTool (Dynamic Tool) giùm đệ với. 29/03/2007 05:14:58 (+0700) | #12 | 50195
[Avatar]
BachDuongTM
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
[Profile] [PM] [Email]

conmeomeo wrote:
Đệ post yêu cầu lên cả tuần mà không biết mình có được check không nữa thì ra vẫn chưa đúng yêu cầu cần kiểm tra vì đọc yêu cầu thấy là cần tạo file yêu cầu trong đó có đoạn ... thì nghĩ chỉ cần trên trang chủ có yêu cầu là được, đâu biết cần phải chứng minh quyền vào FTP nữa.
- Đệ post file yêu cầu nhờ check làm trang chính luôn vậy.
- Đệ làm hệ thống cho công ty này mấy huynh check sớm giùm đệ nếu không lúc chạy thiệt nó chết là tiêu đệ luôn.
- Đệ không rõ chính xác yêu cầu chứ đã nhờ check đệ còn lười làm gì :?smilie  


việc làm của bạn là đã thể hiện bạn kô hề lười nhưng như thế vẫn kô được.
hva kô yêu cầu bạn phải đưa thông báo ra trang chủ hay để ngay trên banner của bạn.Yêu cầu đặt ra là bạn đặt 1 file request.html có nội dung thông báo việc ủy quyền kiểm tra site của bạn.Tốt nhất là bạn nên thực hiện nghiêm túc việc này.Giá trị đầu vào có đúng thì mới xử lý công việc tốt được.
theo mình bạn nên xóa bỏ mấy thông báo kia đi,tạo file request và có một điều chú ý là đừng sáng tạo như thế nhé.
good luck.

àh còn một điều nữa là bạn kô nên đặt tên topic như thế ,hãy đơn giản dễ hiểu nhưng đầy đủ,kô cần phải xưng đệ với sư phụ như thế đâu.
[Up] [Print Copy]
  [Question]   Re: Xác nhận chủ quyền 29/03/2007 22:28:55 (+0700) | #13 | 50366
[Avatar]
conmeomeo
Member

[Minus]    0    [Plus]
Joined: 13/01/2007 23:39:46
Messages: 28
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mình tạo file request.html lâu rồi cứ tưởng là đặt đúng tên rồi để nó ở trên đó là được. Thành ra gửi yêu cầu lâu lắm rồi mà vẫn chưa được check.

Mấy bạn check nó sớm giùm mình vì trang này sắp chạy chính thức rồi nó mà tiêu là mình cũng tiêu luôn.

Xin cảm ơn các thành viên check giùm mình trước.

Xác nhận chủ quyền
http://www.plyvn.com/request.html
Website:
http://www.plyvn.com
www.SanGiaoDichWeb.com
[Up] [Print Copy]
  [Question]   Re: Nhờ kiểm tra giùm Tool website này 08/04/2007 05:35:24 (+0700) | #14 | 52353
[Avatar]
conmeomeo
Member

[Minus]    0    [Plus]
Joined: 13/01/2007 23:39:46
Messages: 28
Offline
[Profile] [PM] [WWW] [Yahoo!]
Mình post yêu cầu lên lâu lắm rồi nhưng không biết có được check hay không.
Xin hỏi khi nào thì biết yêu cầu có được check hay không?
www.SanGiaoDichWeb.com
[Up] [Print Copy]
  [Question]   Re: Nhờ kiểm tra giùm Tool website này 25/04/2007 00:32:58 (+0700) | #15 | 55564
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

conmeomeo wrote:
Mình post yêu cầu lên lâu lắm rồi nhưng không biết có được check hay không.
Xin hỏi khi nào thì biết yêu cầu có được check hay không? 


Trang http://www.plyvn.com tránh được hầu hết các exploit thông thường đến các biến được dùng trong query string (như các dạng inline xss, sql injection...). Tuy nhiên, nó bị một lỗi và lỗi này khá thường gặp đó là nó không kiểm soát PHPSESSID. Điều này có nghĩa từ phía client, giá trị PHPSESSID được đưa vào và server hoàn toàn không kiểm tra. Bởi thế, việc chèn bất cứ thứ gì trong PHPSESSID=xyz đều không bị cản trở gì cả.

Nên nghiên cứu khả năng "Session Validation" trên php để khắc phục tình trạng này nếu không muốn bị lợi dụng điểm này khai thác sâu hơn.

Riêng phần server thì tôi không ý kiến chi tiết vì site này thuộc dạng sharehosting. Server chạy dịch vụ ftp có phiên bản rất cũ và có lỗi nặng. Lỗi này cho phép get root từ xa (exploit code đã disclose rộng rãi từ lâu).

Good luck.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Nhờ kiểm tra giùm website này 26/04/2007 06:13:57 (+0700) | #16 | 55750
[Avatar]
conmeomeo
Member

[Minus]    0    [Plus]
Joined: 13/01/2007 23:39:46
Messages: 28
Offline
[Profile] [PM] [WWW] [Yahoo!]
- Rất cám ơn sự đóng góp ý kiến của bạn conmale vì mình gửi yêu cầu lâu quá rồi mà không thấy ai trả lời tưởng không ai ra tay cả. Cái biến PHPSESSID vì mình không dùng nó, với lại lúc mình code và test ở dưới localhost thấy nó cũng không ảnh hưởng gì cả thành ra quên set giá trị cho nó luôn rất cảm ơn sự phát hiện của bạn, mình sẽ fix nó lại.
- Còn về phía server thì mình cũng bó tay vì không thể can thiệp được.
www.SanGiaoDichWeb.com
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|