banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: conmeomeo  XML
Profile for conmeomeo Messages posted by conmeomeo [ number of posts not being displayed on this page: 0 ]
 
Có nhiều phương thức thanh toán trực tiếp trên mạng nhưng theo mình được biết thì sẽ có 2 phương thức giao dịch chủ yếu là:

1. Thanh toán trực tiếp qua ngân hàng bằng các loại thẻ mà ngân hàng phát hành như thẻ ATM, Credit Card, v.v...
Đối với phương thức thanh toán này bạn cần liên hệ trực tiếp với ngân hàng để có được thông tin chi tiết về cách thanh toán, ngân hàng sẽ có các quy định cụ thể về vấn đề bảo mật, cách thức bạn cần gửi dữ liệu.

2. Thanh toán thông qua các công cụ thanh toán trực tuyến như: PayPal...
Với cách thức này bạn chỉ cần lập trình, đặt tên biến, v.v... theo đúng yêu cầu của công cụ thanh toán là được. Các thông tin chi tiết đều có trên trang web của các công cụ này.


- Sư huynh có thể chỉ cho đệ biết làm thế nào đã phát hiện ra cái lỗi đó không, vì khi test thử đệ đã kiểm tra nhiều lần nhưng không thấy cái lỗi đó, đệ còn dùng cả phần mềm Acunetix Web Vulnerability Scanner 3 chuyên dùng cho việc check website nhưng cũng không thấy nó báo lỗi gì cả.
- Cái khó nhất là lúc viết code hay test thử đệ chạy bình thường nên không phát hiện ra lỗi, không biết huynh dùng phần mềm hay nhét thêm cái gì vào đường link mà nó lại lòi ra lỗi đó.
- Không biết hiện nay còn phần mềm nào chuyên dùng cho việc check website không. Rất mong nhận được sự chỉ giáo của các huynh đệ gần xa.
Tại chỗ của đệ mỗi lần gửi bài nhấn nút Gởi đi là nó bị treo, Refresh lại thì không thấy bài nên mới phải gửi lại lần nữa. Lần sau rút kinh nghiệm vậy.
Cái này chắc server nó bị vấn đề vì cái domain ban đầu của đệ là www.phunu24h.com còn cái www.phunuvn.com.vn là mua sau này mới trỏ về cùng host hôm nay nên bị cái lỗi kết nối db này.
Bây giờ vào thấy tự nó chạy bình thường lại rồi đệ chẳng đụng chạm gì đến nó cả.
Website: http://www.phunu24h.com
Xác nhận chủ quyền: http://www.phunu24h.com/request.html
Chào các bằng hữu gần xa sau một thời gian dài nâng cấp và phát triển cuối cùng đệ cũng đã hoàn tất được một hệ thống Tool website cá nhân (tạm gọi nó là DTool vậy).
Trong quá phát triển để đánh giá mức độ bảo mật của hệ thống này đệ đã nhờ HVA kiểm tra thử tại địa chỉ /hvaonline/posts/list/8305.html với hơn 1045 lượt xem nhưng chỉ duy nhất có một mình vị sư huynh conmale ra tay nghĩa hiệp. Đây là ý kiến đóng góp của huynh ấy:
---------------
Trang web tránh được hầu hết các exploit thông thường đến các biến được dùng trong query string (như các dạng inline xss, sql injection...). Tuy nhiên, nó bị một lỗi và lỗi này khá thường gặp đó là nó không kiểm soát PHPSESSID. Điều này có nghĩa từ phía client, giá trị PHPSESSID được đưa vào và server hoàn toàn không kiểm tra. Bởi thế, việc chèn bất cứ thứ gì trong PHPSESSID=xyz đều không bị cản trở gì cả.

Nên nghiên cứu khả năng "Session Validation" trên php để khắc phục tình trạng này nếu không muốn bị lợi dụng điểm này khai thác sâu hơn.

Riêng phần server thì tôi không ý kiến chi tiết vì site này thuộc dạng sharehosting. Server chạy dịch vụ ftp có phiên bản rất cũ và có lỗi nặng. Lỗi này cho phép get root từ xa (exploit code đã disclose rộng rãi từ lâu).
Good luck.
expect the unexpected
---------------
+ Có lẽ lần trước đông đảo các vị bằng hữu và sư huynh khác, thấy hệ thống chưa hoàn chỉnh và có ít thông tin nên chưa ra tay nghĩa hiệp ?. Lần này đệ trở lại với website www.phunu24h.com với phiên bản mới và đầy đủ chức năng, thông tin cho tất cả các chuyên mục (còn khoảng 1 tuần nữa sẽ hoạt động chính thức). Website này đệ sử dụng công nghệ Ajax khá nhiều, mà sử dụng thằng này thì lúc code bắt lỗi cũng hơi bị khó nên đệ sợ mình gặp nhiều sai sót, chỉ sợ chạy được một thời gian database đầy lên lúc đó mà lòi ra lỗi là tiêu đệ luôn.
Mong các vị huynh muội dành chút thời gian check sơ qua giùm đệ bởi đệ chỉ có 2 thành công lực về vấn đề bảo mật mà thôi ( :cry: )
+ Vấn đề khúc mắc là ở chỗ câu SQL đầu vào chính xác là luôn có dạng:
SELECT * FROM ten_bang_du_lieu LIMIT 5,10
do nó được viết cho MySQL
+ Như vậy là muốn sử dụng được các câu SQL mà có sử dụng đến ID hoặc Field thì lại phải làm động tác giả là Fetch tất cả các field trong bảng dữ liệu ra rồi còn phải kiểm tra field nào là khóa chính mà động tác này thì hơi bị lâu mà cái hàm này lại là hàm chính mỗi khi cần CSDL do đó nó được gọi nhiều lần lắm.
+ Nếu SQL 2000 không hỗ trợ sẵn tính năng này thì các phiên bản mới hơn có cách nào để thực hiện công việc này dễ hơn không.
+ Vậy cho mình hỏi thông thường các bạn sử dụng CSDL SQL (loại nào cũng được) thì khi phân trang trên trang web các bạn dùng cách gì để lấy đúng dữ liệu mong muốn trên từng trang.
+ Cảm ơn một số gợi ý của các bạn
+ Nhưng vấn đề của mình là chuyển đổi CSDL nên không thể code lại toàn bộ các cấu trúc hoặc các câu SQL đã có sẵn. Mình chỉ gặp vấn đề ở chổ này mà thôi (toàn bộ các phần khác chạy tốt):
Mình có hàm run_sql:
function run_sql($m_SQL){
if($rs=mssql_query($m_SQL)){
return $rs;
}
return false;
}
Khi chạy chỉ cần gọi:
$my_rs=run_sql("SELECT * FROM tbl_news LIMIT 5,10");

* Với MySQL thì nó chạy tốt còn với SQL thì nó báo lỗi không có từ khoá LIMIT.
+ Mình chỉ có thể sửa trong hàm run_sql mà thôi. Ví dụ với câu SQL như trên mình có thể tách ra để có được dữ liệu đầu vào là câu SQL: SELECT * FROM tbl_news và 2 dữ liệu là số 5 và số 10.
+ Với những đối số trên kết quả mình mong muốn là hàm run_sql trả về 1 resource trỏ đến dữ liệu từ thứ 5->10. Chương trình sau đó sẽ sử dụng cái resource này cho những công việc khác là ok.
+ Mình cũng không chuyên sâu về SQL nên gặp rắc rối về cách viết code để được kết quả như ý muốn, vậy bạn nào biết cách giải quyết vấn đề này xin giúp đỡ.
+ Mình thường dùng CSDL MySQL để làm việc với PHP, nay mình muốn chuyển sang CSDL SQL. Mình cài bản Microsoft SQL Server 2000 Personal Edition (cài đặt bình thường không có gì đặc biệt cả).
+ Tất cả các câu lệnh mình viết cho MySQL khi chuyển qua SQL đều chạy được chỉ có cái LIMIT này là không chạy được.
câu lệnh: SELECT * FROM tbl_news LIMIT 5,10
mình muốn lấy từ dữ liệu thứ 5 tới thứ 10, cái này trong MySQL thì chạy ra kết quả bình thường nhưng khi chạy thử nó trong SQL thì nó báo lỗi cú pháp ngay chổ LIMIT.
1. Cho mình hỏi là trong SQL nó có lệnh LIMIT này không hay là do mình cài SQL không đúng nên nó không chạy.
2. Có cách nào khác trong SQL để giải quyết vấn đề trên không?
- Rất cám ơn sự đóng góp ý kiến của bạn conmale vì mình gửi yêu cầu lâu quá rồi mà không thấy ai trả lời tưởng không ai ra tay cả. Cái biến PHPSESSID vì mình không dùng nó, với lại lúc mình code và test ở dưới localhost thấy nó cũng không ảnh hưởng gì cả thành ra quên set giá trị cho nó luôn rất cảm ơn sự phát hiện của bạn, mình sẽ fix nó lại.
- Còn về phía server thì mình cũng bó tay vì không thể can thiệp được.
Xin cho hỏi có ai biết đoạn code để chơi một danh sách các bài nhạc không. Ví dụ tôi có 5 bài nhạc trong database vấn đề là làm sao để cái Media Player tự động chơi hết từ bài 1->5 sau đó lại quay lại từ đầu, sau đó nếu có thêm bài mới vào database thì nó sẽ tự động chơi từ bài đầu tiên đến bài mới nhất.
Chắc bạn hiểu nhầm câu hỏi của tôi rồi.
- Tôi đang muốn hỏi là làm cách nào để gửi được tin nhắn từ website đến điện thoại di động(giống như trang web mobile phone đó). Ví dụ đơn giản như tôi làm 1 trang web (ngôn ngữ PHP) cho phép người sử dụng đăng ký, nếu đăng ký thành công thì gửi một tin nhắn về điện thoại di động báo đã đăng ký thành công.
- Muốn làm được điều này thì đòi hỏi phải có nhà cung cấp dịch vụ cung cấp dịch vụ gửi SMS (không ai cung cấp cho việc test cả).
- Tôi muốn hỏi là có phần mềm nào giả lập quá trình này. Ví dụ như nó giả lập 1 cái điện thoại di động nhận giá trị đầu vào và hiển thị trên màn hình di động của nó.
- Nếu không có phần mềm như vậy thì xin hỏi có cách nào để mình test thử yêu cầu trên không.
Chào các bạn mình có tìm thấy một đoạn code hướng dẫn cách gửi SMS bằng PHP, mình muốn test thử đoạn code này nhưng không biết phải cài đặt chương trình gì.
+ Bạn nào biết chương trình dùng để test việc gửi SMS bằng PHP trên PC xin chỉ giáo.
+ Mình thấy có 1 số chương trình giả lập cái điện thoại trên PC dùng cho việc lập trình rất hay. Không biết có chương trình nào giống như vậy dùng cho việc lập trình bằng PHP không (giống WAP vậy), chỉ cần cài và test trên PC là được.

Code:
<?
function SendSMS ($host, $port, $username, $password, $phoneNoRecip, $msgText) {
$fp = fsockopen($host, $port, $errno, $errstr);
if (!$fp) {
echo "errno: $errno \n";
echo "errstr: $errstr\n";
return $result;
}
fwrite($fp, "GET /?Phone=" . rawurlencode($phoneNoRecip) . "&Text=" . rawurlencode($msgText) . " HTTP/1.0\n");
if ($username != "") {
$auth = $username . ":" . $password;
echo "auth: $auth\n";
$auth = base64_encode($auth);
echo "auth: $auth\n";
fwrite($fp, "Authorization: Basic " . $auth . "\n");
}
fwrite($fp, "\n");
$res = "";
while(!feof($fp)) {
$res .= fread($fp,1);
}
fclose($fp);
return $res;
}
$x = SendSMS("127.0.0.1", 80, "username", "password", "+44999999999", "Test Message");
echo $x;
?>
Cảm ơn rất nhiều về câu trả lời của bạn.
Mình muốn cấu hình trong Apache để không phải tạo ra file index hay default trong mỗi thư mục vì có rất nhiều thư mục và cả các cấp bên trong của nó. Mình không muốn mỗi lần tạo thư mục là phải chép thêm file index vào trong đó.
Xin hỏi các bạn là ở localhost Apache có khả năng cấu hình như vậy không?
Chào các bạn mình có cài cái Apache để chạy mấy file PHP ở localhost. Xin cho mình hỏi là phải cấu hình Apache như thế nào để mỗi khi mình mở một thư mục nào đó thì nó không liệt kê tất cả các file có trong thư mục đó.
Chào bạn, nếu muốn thay đổi hình dạng con chuột thì dùng cái này.
Trong cái thẻ <Body> ở trang muốn thay đổi con chuột gỏ đoạn code này vào:
<BODY style="CURSOR: url('chuot.ani')">
or
<BODY style="CURSOR: url('chuot.cur')">
Thẻ <body> là áp dụng cho toàn bộ trang web nếu muốn một phần nào đó hoặc chỉ trong một bảng nào đó thôi thì để đoạn code: style="CURSOR: url('chuot.ani')" trong phần đó. Ví dụ:
<div style="CURSOR: url('chuot.ani')"> or <td style="CURSOR: url('chuot.ani')"> or <table style="CURSOR: url('chuot.ani')"> nói chung chổ nào thích đổi chuột thì nhét vô.

Trong đó cái url là đường dẫn đến file con trỏ chuột. Có 2 dạng:
Con chuột bình thường thường có đuôi .cur
Con chuột có hình động đậy được có đuôi .ani
Bạn cứ lên mạng search mấy thằng có đuôi này thấy thằng nào đẹp thì down về. Tui có 2 con chuột nhắt bạn có thể tham khảo.
http://www.plyvn.com/chuot.cur

http://www.plyvn.com/chuot.ani
Mình post yêu cầu lên lâu lắm rồi nhưng không biết có được check hay không.
Xin hỏi khi nào thì biết yêu cầu có được check hay không?
Mình tạo file request.html lâu rồi cứ tưởng là đặt đúng tên rồi để nó ở trên đó là được. Thành ra gửi yêu cầu lâu lắm rồi mà vẫn chưa được check.

Mấy bạn check nó sớm giùm mình vì trang này sắp chạy chính thức rồi nó mà tiêu là mình cũng tiêu luôn.

Xin cảm ơn các thành viên check giùm mình trước.

Xác nhận chủ quyền
http://www.plyvn.com/request.html
Website:
http://www.plyvn.com
Đệ post yêu cầu lên cả tuần mà không biết mình có được check không nữa thì ra vẫn chưa đúng yêu cầu cần kiểm tra vì đọc yêu cầu thấy là cần tạo file yêu cầu trong đó có đoạn ... thì nghĩ chỉ cần trên trang chủ có yêu cầu là được, đâu biết cần phải chứng minh quyền vào FTP nữa.
- Đệ post file yêu cầu nhờ check làm trang chính luôn vậy.
- Đệ làm hệ thống cho công ty này mấy huynh check sớm giùm đệ nếu không lúc chạy thiệt nó chết là tiêu đệ luôn.
- Đệ không rõ chính xác yêu cầu chứ đã nhờ check đệ còn lười làm gì :?smilie
Nhờ mấy huynh đệ gần xa ra tay check giùm cái website này http://www.plyvn.com.
Cái web này đã hoàn chỉnh rồi đệ tự xây dựng engine cho nó nên nhờ mấy huynh check thử xem nó thực sự có an toàn không. Nếu có lỗi đệ còn biết đường mà Fix lại chứ không thôi tiêu luôn cái website này là đệ cũng tiêu luôn.
http://www.plyvn.com
Mấy huynh hiểu nhầm rồi cái DTool của đệ là cái website giống như bao nhiêu cái khác thôi có điều mấy cái engine là do đệ tự viết và đặt cho nó cái tên mà thôi, nó là website mà.
http://www.plyvn.com
Chào các bằng hữu gần xa sau một thời gian dài nâng cấp và phát triển đệ đã hoàn thiện được một hệ thống Tool website của riêng mình. Đệ cũng có biết một số chiêu để bảo vệ website (mấy chiêu này đọc được trên mạng) chắc toàn là chiêu cơ bản, nếu cao thủ nào có khả năng xin vui lòng ra tay kiểm tra thử xem cái web của đệ có lòi lỗi ra không.
Nếu có lỗi xin các huynh thông báo sớm để đệ Fix nó và cập nhật liền chứ không thôi tiêu luôn cái web này của đệ.
Xin chân thành cảm ơn các huynh đệ gần xa trước.
http://www.plyvn.com
Xác nhận chủ quyền:
http://www.plyvn.com/request.html
Tui có tìm thấy trên mạng một số công cụ cho phép check thử website nhưng mà phần lớn chúng không hoạt động trên win và một số phải cài thêm phần mềm khác. Ai biết có công cụ nào có chức năng tương tự chạy được trên WinXP mà không phải cài thêm những phần mềm khác ngoài những phần đã cài để chạy PHP xin chỉ giùm.
+Các công cụ tự động tìm lỗi SQL injection:
SQL Injection thường được thực hiện bằng kĩ thuật của hacker,nhưng 1 vài công cụ có thể tự động quá trình nhận dạng và khai thac chỗ yếu.Wpoison là công cụ có thể phát hiện lỗi SQLInjection trong các trang web.Những đoạn string tìm lỗi SQL thì được lưu trữ trong 1 file từ điển,và vì thế nó trở lên dễ dàng cho bất kì ai thêm vào danh sách từ điển cho riêng mình.Wpoison chạy trên Linux,có thể download tại:
http://wpoison.sourceforge.net
Ngoài ra còn có công cụ SPIKE Proxy,nó có các chức năng khá tốt-tự động thực hiện SQL Injection -những d0oạn string sẽ được Inject tuỳ vào thói quen người sử dụng .SPIKE Proxy là 1 Python và OpenSSL-công cụ đánh giá ứng dụng web cơ bản có các chức năng như HTTP và HTTPS Proxy...Nó cho phép người phát triển web hoặc người quản trị ứng dụng web cấp thấp truy cập vào tòan bộ phương tiện ứng dụng web,trong khi nó cũng cung cấp 1 nhóm các công cụ tự động và những kĩ năng khám phá ra những lỗi thông thường,các công cụ đó bao gồm:SQL Injection,Website Crawler,Login Form Brute Forcer,Automated Overflow Detection..v.vSpike Proxy chạy trên Win32 và Linux,các bạn có thể Download tại:
www.immunitysec.com/spike.html]www.immunitysec.com/spike.htm l
Chú ý là phần mềm này nặng khoảng 13M và máy tính của bạn phải có sẵn Python và OpenSSL.Trong WinXP công cụ này không hoạt động.

Mieliekoek.pl là 1 SQL Insertion Crawler,có chức năng kiểm tra các form liên quan đến lỗi SQL.Scrip này cung cấp 1 công cụ Web mirroring như là dữ liệu vào,xem xét từng file và nhân diện sự tồn tại các form trong file.Các chuỗi được Inject có thể dễ dàng thay đổi trong file cấu hình.Download Mieliekoek tại:

http://packetstormsecurity.nl/UNIX/security/mieliekoek.pl

Công cụ này chỉ hoạt động khi máy bạn đã cài PERL.
Tui có đoạn text nhờ kiểm tra giùm rồi mà ở ngay trang chủ http://suoicat.com và trang nhờ test là htttp://suoicat.com/test_dir/. Chắc nó ở cuối trang chủ nên không nhìn thấy. Tui đưa nó lên trên cùng của trang chủ rồi. Nhờ HVA check giùm nó. Tui dùng cái mẫu này cho một số website rồi như: www.giamywedding.com, www.mekongpages.com, nên chỉ cần test dùm cái website tại http://suoicat.com/test_dir là được nếu bị lỗi tui sẽ đi chỉnh lại các website đã code
Tui đọc trong phần quy định thấy đâu có sai phần nào đâu. Website của tui là http://www.suoicat.com là đúng rồi, chỉ có điều tui sợ mất dữ liệu nhập vào nên tạo thêm database khác rồi đưa nó vào trong thành htttp://www.suoicat.com/test_dir/ thôi mà, chứ trang web này nó vẫn đang chạy mà.
Chào các bạn cái Tool này của mình viết và tự kiểm tra nhiều lần rồi nhưng không biết có an toàn không nữa vì mình chỉ biết check mấy cái lỗi cơ bản thôi. Cái Tool này đã hoàn chỉnh rồi có cả phần phân quyền cho Admin trong phần quản lý. Nhờ các bạn check giùm xem nó có an toàn không vì mình sẽ dùng nó để làm các website khác.

Tôi xác nhận chủ quyền trang web: http://www.suoicat.com/test_dir/. Tôi, conmeomeo đã tham khảo quy định kiểm tra bảo mật của HVA và xin uỷ quyền nhóm kiểm tra bảo mật HVA kiểm tra trang web này.
Cám ơn nhiều vì mới vào nên mình post không đúng chổ
Mình có đọc một số bài viết trong diễn đàn về lỗi SQL Injection, nhưng khi mình áp dụng vào thử thì không cái nào chạy được cả. Không biết do trình độ và kinh nghiệm của mình chưa đủ nên không test được hay các lỗi này không có tác dụng, nên cũng chẳng biết những thứ mình viết có thực sự an toàn hay không nữa. Bạn nào có thể ghé qua trang của mình http://www.suoicat.com/test_dir/ hack nó một cái rồi thông báo lỗi cho mình, nếu các bạn không có thời gian để mô tả lỗi này thì chỉ cần cho biết nó bị lỗi ở đâu là được mình sẽ tự mò để tìm hiểu thêm. Xin đa tạ trước
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|