Digart przekolorowany
O Digart
Serwis digart.pl jest serwisem internetowym adresowanym do twórców sztuki cyfrowej , który obejmuje różnorodne dziedziny sztuki: od grafik, rysunków, poprzez fotografie, projekty stron internetowych, a skończywszy na poezji, prozie i innych obszaraqch sztuki. Serwis digart.pl umożliwia umieszczanie prac (graficznych oraz tekstowych) oraz ich prezentację na stronach serwisu.
Błędy
Dzisiejszej nocy miała miejsce premiera nowej wersji strony serwisu Digart. Jest on niemal już kultowy dla niektórych grafików (właśnie grafików, więc co ja tam robiłem? ;-)). Podczas przystosowywania serwisu do web dwa zerowych standardów ktoś zapewne przez przypadek popełnił kilka drobnych błędów. Jakich? spójrzcie poniżej.
Przykład
1. Link
Wpisanie zamiast nazwy użtkownika apostrofu, którego zadaniem jest zamknięcie niezabezpieczonego zapytania SQL skutkuje ukazaniem nam ładnego napisu:
MySQL err: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
Czyli mamy podłoże do SQL Injection, szkoda że nie ma nazw pól ;-)
2. Link
Sytuacja podobna do przedstawionej wyżej.
MySQL err: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
3. i 4.
Odpowiedź
Dostałem dwa maile od dwóch adminów Digart z podziękowaniami.
Poprawki
Błędy związne z bazą danych zostały poprawione, jeśli chodzi o HTML Injection to dodane zostało zamienianie specjalnych znaków HTML na encje (nadal można wstrzyknąć swój napis).
Tagi: digart, iti, onet, XSS
Kategoria: Bezpieczeństwo, BugTraq
Phi to nie to co ostatni atak :PP
Wymiekam z Ciebie Beldzio :D (w pozytywnem znaczeniu) Ja to anwet bym nie wpadł na……. nawet nie wime jaki przykłąd podać. Ale mogłeś głosowaś za starym DA tylko poprawić błędy bo ten jest gorsiejszy :]
@SZK ja jestem koderem, a nie grafikiem ;-) Na Digi nie zaglądam ;-)
Chyba porpawili błędy MySQLa (2 pierwsze błędy)
Tak, można powiedzieć że poprawili wszystko :-) Wczoraj dostałem 2 maile od adminów i dziś miałem o tym napisać. Dopiero wstałem więc zaraz to zrobie :P
Moim zdaniem kolor czcionki na tym blogu jest dużym błędem :/
A no, taka została wybrana przez autora szablonu, ale Megus (grafik) złożył już deklarację zrobienia nowego tak więc poczekamy zobaczymy :-)
Do listy ”wielkich i dotknietych” mozesz dopisac Wykop.pl – rowniez podatni na XSS”a ;)
He he he :-) Jak widać sporo tego jest :-) tak tylko rzuciłem okiem na wykop – masz coś poza szukaczką?
Niestety, do poziomu Twojej znajomosci PHP to mi daaaaleeeeekoooooooooo… ;)
Bełdzio: http://7pl.pl/32
Bełdzio: http://7pl.pl/32