English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Kiểm tra bảo mật Mong muốn được kiểm tra bảo mật Build.com.vn  XML
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 04/04/2007 19:12:05 (+0700) | #1 | 51565
lehongbach
Member
[Minus]    0    [Plus]
Joined: 04/04/2007 08:05:08
Messages: 6
Offline
[Profile] [PM]
Tôi, lehongbach đã đọc kỹ qui định kiểm tra bảo mật của HVA, nay mong muốn và ủy quyền cho nhóm kiểm tra bảo mật HVA check website tại địa chỉ: http://www.build.com.vn
Rất mong nhận được sự hỗ trợ từ HVA cùng các thành viên.
Trân trọng cảm ơn.

Url xác nhận: http://www.build.com.vn/hva/request.htm

lehongbach
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 04/04/2007 19:36:46 (+0700) | #2 | 51566
lehongbach
Member
[Minus]    0    [Plus]
Joined: 04/04/2007 08:05:08
Messages: 6
Offline
[Profile] [PM]
Một số thông tin liên quan,
Site hiện chạy trên Reseller Cpanel.net, Em chỉ có quyền quản lý Reseller, không có quyền tham gia vào những tác động đến server.
Nếu có lỗi nào đấy về server mà Reseller có thể điều chỉnh được, mong các bác chỉ dẫn.
bên cạnh đấy với việc sử xây dựng hệ thống b2b, không biết hệ thống hiện đang hoạt động có gặp lỗi gì không, nếu có xin các bác hướng dẫn em cách khắc phục.

Em xin trân trọng cảm ơn
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 05/04/2007 10:39:04 (+0700) | #3 | 51750
lehongbach
Member
[Minus]    0    [Plus]
Joined: 04/04/2007 08:05:08
Messages: 6
Offline
[Profile] [PM]
Chắc hôm nay các bác bận nhiều việc, cả ngày vào trông ngóng chờ tin
Hi vọng và mong muốn nhận được sự giúp đỡ từ phía các bác

[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 06/04/2007 04:22:03 (+0700) | #4 | 51884
jts_m3
Member
[Minus]    0    [Plus]
Joined: 12/01/2007 14:30:01
Messages: 10
Offline
[Profile] [PM]
Mình cũng mới vô thấy cái này to đùng :
http://www.build.com.vn/gen_confirm.php?errmsg=Hello%20VN%20!

http://www.build.com.vn/selloffers.php?tmp=1&show_save=yes&keyword=\'\';;l;\'l\'\'\';42!$!$!%$^%$*smilie____+|+|_))+%@!!!???%3E%3C%3E\%22#$&


http://www.build.com.vn/calendar.php?op=cal&month=4&year=Hello%20VN%20!


http://www.build.com.vn/cat_profiles.php?cid=28'


http://www.build.com.vn/profiles.php?cid=12'


http://www.build.com.vn/cat_buy.php?cid=12'

http://www.build.com.vn/cat_products.php?cid=12'

http://www.build.com.vn/cat_sell.php?cid=12'

Kiểm kỹ chắc còn nữa, nhìn qua thấy site build kô dc chắc chắc cho lắm.
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 06/04/2007 09:25:03 (+0700) | #5 | 51976
lehongbach
Member
[Minus]    0    [Plus]
Joined: 04/04/2007 08:05:08
Messages: 6
Offline
[Profile] [PM]
http://www.build.com.vn/gen_confirm.php?errmsg=Hello%20VN%20!
Cái biến này là cái biến tự do mà, nó gọi ra từ cái hàm báo lỗi tin khi ai đấy thao tác sai, không biết viết thế này có được gọi là lỗi không.


Còn :
http://www.build.com.vn/cat_profiles.php?cid=28'
http://www.build.com.vn/profiles.php?cid=12'
http://www.build.com.vn/cat_buy.php?cid=12'
http://www.build.com.vn/cat_products.php?cid=12'
http://www.build.com.vn/cat_sell.php?cid=12'


khi thêm mấy cái dấu phẩy ở cuối thì đúng là lỗi thật
Cảm ơn bạn đã test site, hi vọng tiếp tục nhận được sự trợ giúp test lỗi cũng như giải pháp khắc phục từ phía Ban bảo mật HVA và các bạn
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 06/04/2007 09:41:56 (+0700) | #6 | 51978
jts_m3
Member
[Minus]    0    [Plus]
Joined: 12/01/2007 14:30:01
Messages: 10
Offline
[Profile] [PM]
http://www.build.com.vn/gen_confirm.php?errmsg=Hello%20VN%20!

nó là một dạng của XSS
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 06/04/2007 09:51:09 (+0700) | #7 | 51986
lehongbach
Member
[Minus]    0    [Plus]
Joined: 04/04/2007 08:05:08
Messages: 6
Offline
[Profile] [PM]

jts_m3 wrote:
http://www.build.com.vn/gen_confirm.php?errmsg=Hello%20VN%20!

nó là một dạng của XSS 

Cho hỏi dạng này có nghuy hiểm không, mức độ lỗi nghuy hiểm nằm ở điểm nào, nếu tồn tại lỗi này thì khả năng nào sẽ xây ra khi có người cố ý tấn công.
Nếu khắc phục có cách nào hay không hay là mình bỏ luôn cái biến này đi.

Còn với Mấy cái lỗi dấu phẩy mức độ nghuy hiểm có nghiêm trọng không?
Ngoài ra hi vọng anh em kiểm tra thêm và cho ý kiến đóng góp
Xin chân thành cảm ơn Bạn và mọi người đã xem đóng góp ý kiến
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 06/04/2007 10:46:12 (+0700) | #8 | 52004
[Avatar]
 gsmth
Elite Member
[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

lehongbach wrote:

jts_m3 wrote:
http://www.build.com.vn/gen_confirm.php?errmsg=Hello%20VN%20!

nó là một dạng của XSS 

Cho hỏi dạng này có nghuy hiểm không, mức độ lỗi nghuy hiểm nằm ở điểm nào, nếu tồn tại lỗi này thì khả năng nào sẽ xây ra khi có người cố ý tấn công.
Nếu khắc phục có cách nào hay không hay là mình bỏ luôn cái biến này đi.

Còn với Mấy cái lỗi dấu phẩy mức độ nghuy hiểm có nghiêm trọng không?
Ngoài ra hi vọng anh em kiểm tra thêm và cho ý kiến đóng góp
Xin chân thành cảm ơn Bạn và mọi người đã xem đóng góp ý kiến 

Về lỗi XSS, Attacker sử dụng lỗi XSS để gửi những link có kèm theo mã script (JavaScript, VBScript, ActiveX, HTML, or Flash) độc hại, nhằm đánh lừa người dùng chạy link đó hòng đánh cắp thông tin quan trọng (như cookie).

Ngoài ra, cũng xin quote lại bài gsmth đã gửi:

gsmth wrote:
Đây là một số site mà mình đã bookmark về lọc XSS/SQL injection. Hy vọng có ích cho bạn:
- http://www.attacklabs.com/xssfilter/
- http://www.attacklabs.com/xssfilter/XSSFilter.java
- http://ha.ckers.org/xss.html
- http://www.jungsonnstudios.com/blog/?i=96&bin=1100000
- http://www.bindshell.net/tools/beef
 


[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 09/04/2007 11:30:45 (+0700) | #9 | 52654
jts_m3
Member
[Minus]    0    [Plus]
Joined: 12/01/2007 14:30:01
Messages: 10
Offline
[Profile] [PM]
- XSS bạn có thể tham khảo bài viết này :

http://hvaonline.net/hvaonline/posts/list/1754.html
- Còn đây là vài thông tin về SQL Inject :

http://hvaonline.net/hvaonline/posts/list/382.html

http://hvaonline.net/hvaonline/posts/list/163.html
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 14/04/2007 08:42:53 (+0700) | #10 | 53563
[Avatar]
 Mr.vinhhai
Member
[Minus]    0    [Plus]
Joined: 20/03/2007 01:28:05
Messages: 26
Location: Dreams
Offline
[Profile] [PM]
Bị lỗi SQL injection nặng .
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 15/04/2007 03:36:07 (+0700) | #11 | 53722
vuong
Elite Member
[Minus]    0    [Plus]
Joined: 21/03/2003 04:58:54
Messages: 50
Location: Yên Hạ
Offline
[Profile] [PM] [WWW]
Hôm nay là 14-04 rùi đã hơn 10 ngày rùi mà admin vẫn chưa fig smilie
[Up] [Print Copy]
  [Question]   Mong muốn được kiểm tra bảo mật Build.com.vn 08/05/2007 00:28:16 (+0700) | #12 | 57588
lehongbach
Member
[Minus]    0    [Plus]
Joined: 04/04/2007 08:05:08
Messages: 6
Offline
[Profile] [PM]
Cảm ơn các bạn đã hỗ trợ mình trong việc check site.
Dạo rùi bận đi công tác, giờ mới về đến HN.
Mình sẽ cố gắng nghiên cứu và sữa lỗi, hi vọng nhận được sự quan tâm giúp đỡ của các bạn
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|