приветствую. я долго работал над одним web-приложением и в итоге у меня что то получилось что работает без перебоев, и вполне приемлемо.
Но наверняка всем известно что собственные ошибки найти тяжело. Пожалуйста, не могли бы протестировать мою систему на уязвимости.
Начнем со внешних уязвимостей. т.е. до того как вошел в систему.
http://city[dot]budennovsk[dot]ru/content/
после того, как обнаружится или не обнаружится уязвимости какому не будь добровольцу создам учетную запись для того чтоб потестил изнутри.
1. просто даня - 13 Августа, 2013 - 13:54:08 - перейти к сообщению
2. EuGen - 13 Августа, 2013 - 14:00:21 - перейти к сообщению
Цитата:
У нас появились подозрения, что вы не знаете логин и пароль от системы и стараетесь проникнуть в систему другим путем. Это невозможно... Система имеет трехуровневую защиту от взлома. Ваши попытки проникновения в систему были записаны в лог-файл. Теперь мы знаем вашу операционную систему, IP-адрес, броузер и его версию, а так же ваш город и интернет провайдер. Вы оказались в бане на неограниченный срок который определит сама система.
Ну да, "трёхуровневая система защиты". Как минимум, у этой страницы следует выставить кодировку.
По поводу уровней защиты - все "три уровня" обходятся одним прокси. Но честно - не хочется тратить своё время. Если просите о тестировании, это следовало предусмотреть. Не всякий пользователь захочет менять прокси или прилагать дополнительные усилия по установке анонимайзера.
3. Саныч - 13 Августа, 2013 - 14:07:15 - перейти к сообщению
Цитата:
Ну знаете вы теперь мой IP и что? Вам от этого легче стало? Так под этим же IP еще три тысячи пользователей сидят, а вы его так раз и забанили... У нас появились подозрения, что вы не знаете логин и пароль от системы и стараетесь проникнуть в систему другим путем. Это невозможно... Система имеет трехуровневую защиту от взлома. Ваши попытки проникновения в систему были записаны в лог-файл. Теперь мы знаем вашу операционную систему, IP-адрес, броузер и его версию, а так же ваш город и интернет провайдер. Вы оказались в бане на неограниченный срок который определит сама система.
А всего-то три раза неверно логин/пароль ввел...
з.ы. вам еще осталось узнать русский язык, или хотя бы научиться пользоваться проверкой орфографии в ворде.
4. просто даня - 13 Августа, 2013 - 14:07:31 - перейти к сообщению
EuGen то что это обходится через прокси мне известно. все же это именно я создавал но все же он после 5 попыток не правильного введения пароля или попытки редиректа на другие страницы система предотвращает последующие попытки.
Конечно остается вариант предотвратить последующие посещения через куку...
Конечно остается вариант предотвратить последующие посещения через куку...
5. imya - 13 Августа, 2013 - 14:09:19 - перейти к сообщению
css ? Зашёл на сайт и вспоминились 2000-ые...
6. просто даня - 13 Августа, 2013 - 14:10:17 - перейти к сообщению
Саныч банится не только IP. если под этим же IP зайти с другого компьютера, браузера, операционной системы то бана не будет.
7. EuGen - 13 Августа, 2013 - 14:10:44 - перейти к сообщению
просто даня пишет:
Конечно остается вариант предотвратить последующие посещения через куку
Полюбопытствую, как. Если пользователь будет использовать прокси, который, разумеется, не отошлёт никакой куки.
Да и напрямую подбирать пароль никто и не думал. Тогда проще атаковать ресурс через ботнет, создающий DDoS. Речь о поиске уязвимостей, которые позволили бы получить доступ к системе иным способом - и от такого проверка адреса хоста клиента не спасёт.
просто даня пишет:
операционной системы то бана не будет.
отлично, злоумышленник сгенерирует Вам сколько угодно фальшивых заголовков в HTTP_USER_AGENT - стало быть, такая проверка ничего не даст.
8. просто даня - 13 Августа, 2013 - 14:11:08 - перейти к сообщению
imya это минимализм.
9. Саныч - 13 Августа, 2013 - 14:11:30 - перейти к сообщению
imya, у него наверно времени на css не хватило, все потратил на свою "трехуровневую защиту"
А че, главное чтоб система была защищена, а то что пользователю глаза режит - пофиг
А че, главное чтоб система была защищена, а то что пользователю глаза режит - пофиг
10. просто даня - 13 Августа, 2013 - 14:11:36 - перейти к сообщению
Спойлер (Отобразить)
кто сидит с IE? признавайтесь