mboost-dp1
No Thumbnail
Tja, jeg kender mindst et andet site hvor den er gal med sikkerheden på det punkt, hvor de samtidigt er blevet gjort opmærksomme på problemet og arbejder på at løse det.
Men forstår slet ikke hvordan det kan gå galt, altså at der ikke eksisterer et adgangs tjek for dette på selve gallerisiden.
Men forstår slet ikke hvordan det kan gå galt, altså at der ikke eksisterer et adgangs tjek for dette på selve gallerisiden.
Well f.eks. på arto så er der en der finder ud af det kan udnyttes. så fortæller han sine venner det og så siger de det videre og ligepludselig ryger det forbi en admin eller der er en der bliver forarget. og så retter de det. desværre. så husk det.... hvis man finder huller man kan udnytte så hold dem for dig selv (I begge tilfælde. ) :D
hmm..
Efter nærmere undersøgelse, så virker denne funktion stadig. Man kan stadig se privatgallerier! Længe leve privatgallerier på arto! :D
Efter nærmere undersøgelse, så virker denne funktion stadig. Man kan stadig se privatgallerier! Længe leve privatgallerier på arto! :D
Det er jo gode nyheder til landets pædofile, som tænder på sommerkåde preteens. Værsgo, her er nøglen til paradis! Sygt.. Så er det jo kun et spørgsmål om tid, før alle gallerierne ender på BitTorrent. Jeg kan huske at det skete for Dating.dk engang, da var det godt nok eDonkey det endte på i stedet.
Er møgkoste nu et positivt ord? Det minder mig om Politikens Thomas Michelsen anmeldelse af Det Kongelige Kapels optræden i Operaen, hvor han skrev følgende om dirigenten:
5 skrev:Hehehe var det ikke det samme med scor.dk for nogle år tilbage?
Det var en forrygende tid - der var nogle ganske nydelige møgkoste imellem!
Er møgkoste nu et positivt ord? Det minder mig om Politikens Thomas Michelsen anmeldelse af Det Kongelige Kapels optræden i Operaen, hvor han skrev følgende om dirigenten:
’Finlandia’ blev under Inkinens styring formet, så messinget klang af størknet blod.Efterfølgende spørger man sig selv om det er positivt, når messinget gør sådan noget.
Det er tre-fire dage siden jeg indsendte nyheden, imellemtiden er mit blog indlæg på blog.dk blevet slettet, og diverse debat tråde på arto.dk.
- en god måde at få gennemtvunget en rettelse af fejlen.
- en god måde at få gennemtvunget en rettelse af fejlen.
#13 Ja eller du kan lukke og prøve at opføre dig ordentligt. det var dog godt nok for latterligt det indlæg der. Din mor bør sq skamme sig.
#14 du har en pointe der. det værste er vel at man ikke har rettet fejlen selvom div. sider skriver om den. sådan noget skal man sq holde for sig selv.
#15 Jamen den er jo åbenbart ikke rettet?
#16 den er her jo?
#14 du har en pointe der. det værste er vel at man ikke har rettet fejlen selvom div. sider skriver om den. sådan noget skal man sq holde for sig selv.
#15 Jamen den er jo åbenbart ikke rettet?
#16 den er her jo?
#16 > Ja, det er Blog.dk jo også, så de kører jo bare censur alá kina. :\
Men det bliver nok ikke slettet fra Newz.dk, da fejlen er rettet nu.
- dvs, de har ikke rettet det ang. vennegallerierne, men kun de private.
#19 > De har kendt til fejlen meget meget længe, hvilket jo også var grunden til at jeg postede det over alt.
Men det bliver nok ikke slettet fra Newz.dk, da fejlen er rettet nu.
- dvs, de har ikke rettet det ang. vennegallerierne, men kun de private.
#19 > De har kendt til fejlen meget meget længe, hvilket jo også var grunden til at jeg postede det over alt.
arto har da ikke en slideshow funktion? man kan trykke næste men stadig? og hvordan skulle man vide hvilket nummer det næste billede i rækken har? har kigget lidt på det og det næste nummer i et galleri er langt fra det der var i det første billede..
#21 > Jeg syntes bestemt at det ikke kan retfærdiggøres at komme med sådan en sexistisk kommentar, og der er i min egen mening bestemt værre end diverse teenage slangudtryk.
#22 > Jo, det har de bestemt; se fx her: http://arto.dk/section/user/profile/gallery/slides...
- det har intet med billede ID at gøre, men galleri ID.
#22 > Jo, det har de bestemt; se fx her: http://arto.dk/section/user/profile/gallery/slides...
- det har intet med billede ID at gøre, men galleri ID.
14 skrev:Det er jo gode nyheder til landets pædofile, som tænder på sommerkåde preteens. Værsgo, her er nøglen til paradis! Sygt.. Så er det jo kun et spørgsmål om tid, før alle gallerierne ender på BitTorrent. Jeg kan huske at det skete for Dating.dk engang, da var det godt nok eDonkey det endte på i stedet.
Nu er det sådan at Arto ikke tillader pornografisk materiale eller bare sådan noget som mavebilleder - heller ikke i private gallerier. Vi sletter også altid billeder der bare hinter hen mod noget seksuelt. Så jeg tvivler på at man kan finde noget 'saftigt', som man ikke kan se hvis man går en tur på gågaden.
Jaa okay jeg kan godt se at jeg hellere må sige pænt "undskUld" for mit sprog tidligere.
Jeg vidste ikke at her var så mange tøser på newz som ikke kan tåle mosten...
SÅ UNDSKULD!
Når det så er sagt, synes jeg da at man er 16% for naiv hvis man lægger nøgenbilleder af sig selv op på nettet - og ikke overvejer om de mon ikke bliver spredt på nettet på et tidspunkt...
Det kunne være at de personer som ikke fatter at bruge krydderen, burde overveje om de er voksne nok til at bruge en computer!
Arto længe leve, jeg synes virkelig at det er godt at vi har et stort sted hvor de pædofile kan slå sig lidt løs. På den måde skal politiet kun koncentrere sig om et primært site - i stedet for 100 små!
Lidt ligesom pusherstreet (selvom jeg har hårdnakket Christiania-modstander), det var da bedre at hash'en i København blev solgt hvor det var nogenlunde kontrolleret og hvor politiet kunne lave mindre raids en gang i mellem - i stedet for nu hvor vi ser hash-salget være spredt over hele København. Det samme vil ske med de folk som ønsker at kigge på preteens...
Er det det vi ønsker? Jeg tror det næppe...
Jeg vidste ikke at her var så mange tøser på newz som ikke kan tåle mosten...
SÅ UNDSKULD!
Når det så er sagt, synes jeg da at man er 16% for naiv hvis man lægger nøgenbilleder af sig selv op på nettet - og ikke overvejer om de mon ikke bliver spredt på nettet på et tidspunkt...
Det kunne være at de personer som ikke fatter at bruge krydderen, burde overveje om de er voksne nok til at bruge en computer!
Arto længe leve, jeg synes virkelig at det er godt at vi har et stort sted hvor de pædofile kan slå sig lidt løs. På den måde skal politiet kun koncentrere sig om et primært site - i stedet for 100 små!
Lidt ligesom pusherstreet (selvom jeg har hårdnakket Christiania-modstander), det var da bedre at hash'en i København blev solgt hvor det var nogenlunde kontrolleret og hvor politiet kunne lave mindre raids en gang i mellem - i stedet for nu hvor vi ser hash-salget være spredt over hele København. Det samme vil ske med de folk som ønsker at kigge på preteens...
Er det det vi ønsker? Jeg tror det næppe...
#27 - 'De pædofile' kan ikke slå til mere på Arto end de kan andre steder. Vi politianmelder alle der bare forsøger at gøre noget på Arto - det er først når de bevæger sig uden for Arto at det bliver muligt for dem at gøre noget, f.eks. på MSN.
Og mht. billeder, så godkender vi manuelt alle billeder (og vi snakker i hundredetusindevis om dagen). Så selvfølgelig sker der slip-ups, men ellers kan alle billeder anmeldes, og et nøgenbillede får sjældent lov til at lægge på siden mere end et døgn.
Og mht. billeder, så godkender vi manuelt alle billeder (og vi snakker i hundredetusindevis om dagen). Så selvfølgelig sker der slip-ups, men ellers kan alle billeder anmeldes, og et nøgenbillede får sjældent lov til at lægge på siden mere end et døgn.
Jeg kan bekræfte hvad Claus i nummer #28 siger (:
De eneste der har nøgenbilleder på arto, er de folk som har lagt dem op før de skulle godkendes... men de kan alligevel ikke forstørres pga en fejl i flytningen af billeddatabasen (så vidt jeg huske), så et 75x75px thumbnail er alt hvad der er tilbage.
De eneste der har nøgenbilleder på arto, er de folk som har lagt dem op før de skulle godkendes... men de kan alligevel ikke forstørres pga en fejl i flytningen af billeddatabasen (så vidt jeg huske), så et 75x75px thumbnail er alt hvad der er tilbage.
25 skrev:Nu er det sådan at Arto ikke tillader pornografisk materiale eller bare sådan noget som mavebilleder - heller ikke i private gallerier. Vi sletter også altid billeder der bare hinter hen mod noget seksuelt. Så jeg tvivler på at man kan finde noget 'saftigt', som man ikke kan se hvis man går en tur på gågaden.
Okay, det er så fair nok.
Har fundet et tidligere hul før hvor man via lidt kode kunne få alle deres billeder ud!
Fandt både børneporno og alt muligt andet vammelt, dog er det nogle år siden så de har nok strammet lidt op siden, må man da håbe!
Fandt både børneporno og alt muligt andet vammelt, dog er det nogle år siden så de har nok strammet lidt op siden, må man da håbe!
Jeg får denne Besked når jeg prøver:
"Only friends allowed!"
Desværre hehe.. Så må man bare finde en ny fejl, måske noget SQL injection :P
Tror faktisk Arto er noget rodet kodet:S
"Only friends allowed!"
Desværre hehe.. Så må man bare finde en ny fejl, måske noget SQL injection :P
Tror faktisk Arto er noget rodet kodet:S
#36 Tror!? Deres design har i hvertfald altid været komplet inkonsistent og backenden minder om noget en 13-årig har lavet. I meget lang tid kunne man f.eks. ansøge en person, som man allerede var ven med, om at være venner og dette ville så resultere i, at der blev sendt en mail til denne person om ansøgningen... Altså en masse klik = en masse emails.
Skrev til arto flere gange om denne og andre fejl, nogle blev rettet andre blev ikke. FIk aldrig nogen respons på mine emails.
Skrev til arto flere gange om denne og andre fejl, nogle blev rettet andre blev ikke. FIk aldrig nogen respons på mine emails.
41 skrev:#39 > man laver da bare en enkel funktion der æder alt hvad der ikke må komme ind og smider den på alle post og get inputs, og så er du sikret, det er den nemmeste opgave på jorden...
Jeg ratede dig sjov, men jeg ved ikke helt om det var en newbie-parodi, eller om du var seriøs.
No offence, men det er altså en newbie-metode, og der er en grund til at den generelt frarådes.
En korrekt løsning er DB-abstraktionslag og/eller Parameterized Statements/Prepared Statements
Samme type fejl er på DKBN.dk. Du kan få adgang til andre brugeres "Private albums", som ellers kræver en "Guld Profil" at kunne se. Fandt selv "sikkerheds-hullet" for lang tid siden og det er i skrivende stund ikke blevet rettet... kan jeg se.
Requests er på formen:
Photos/AlbumPhotos.aspx?PhotoAlbumID="albumID"&UserID="UserID"
og hvis bare du selv er logget ind kan du se alle gallerier, ved at erstattet "UserID" med ID på din egen konto.
Requests er på formen:
Photos/AlbumPhotos.aspx?PhotoAlbumID="albumID"&UserID="UserID"
og hvis bare du selv er logget ind kan du se alle gallerier, ved at erstattet "UserID" med ID på din egen konto.
#44 Må man have porno i sit personlige galleri på dkbn.dk? Ellers er det jo ikke interessant!!
Hvis det er privatgalleri, og alle de gamle svedige admins kgger pics'ne igennem, så er de satme private :-*
[sarcasm]LOVE ARTO <333333333333333333333333 [/sarcasm]
[sarcasm]LOVE ARTO <333333333333333333333333 [/sarcasm]
#47
Der er stor forskel på at sjuske, og ikke at være perfekt. Den slags her er sjusk.
Enten er udviklerne for sjuskede til at lave en ordentlig arkitektur, eller også har de været for sjuskede med at ansætte kompetente udviklere. Eller måske for sjuskede til at lede dygtige udviklere, så de ikke kan lave et ordentligt produkt.
Der er stor forskel på at sjuske, og ikke at være perfekt. Den slags her er sjusk.
Enten er udviklerne for sjuskede til at lave en ordentlig arkitektur, eller også har de været for sjuskede med at ansætte kompetente udviklere. Eller måske for sjuskede til at lede dygtige udviklere, så de ikke kan lave et ordentligt produkt.
43 skrev:No offence, men det er altså en newbie-metode, og der er en grund til at den generelt frarådes.
Så fortæl dog manden/drengen hvorfor det er en newbie-metode, og hvorfor det frarådes - er det fordi du har læst det, lært det, eller forstår hvorfor det er sådan?
49 skrev:Så fortæl dog manden/drengen hvorfor det er en newbie-metode, og hvorfor det frarådes - er det fordi du har læst det, lært det, eller forstår hvorfor det er sådan?
Okay...
Jeg skrev for nogle år siden en relateret artikel: http://myplace.dk/articles/stripslashes/
Jeg går ud fra at han tænker på at farlige tegn skal escapes, for at undgå SQL-injection og andre ubehagligheder. Jeg skriver bla. i artiklen:
PHP har en funktion, som hedder “magic_quotes_gpc“. Funktionen prøver selv at køre addslashes() når det er nødvendigt, og er ment som en hjælp til begyndere.
Når magic_quotes_gpc er slået til, vil PHP automatisk køre addslashes() på data der kommer fra klienten. “GPC” står for “Get Post Cookie”, dvs. det er get-data, post-data og cookie-data.
Dette er dog et helt forkert tidspunkt at køre addslashes() på. Det er jo ikke altid at GPC-data skal i databasen, nogle gange skal det fx. bare skrives ud på HTML-siden med det samme. Så er man nødt til at bruge fx. stripslashes().
Men det bliver værre endnu: Med magic_quotes_gpc glemmer man alt om addslashes(). Men det er jo ikke alt man putter i databasen, der kommer direkte som GPC-data. Så har man problemet med at det pludselig ikke virker en gang i mellem, og vi værste fald har man et stort, råbende sikkerhedshul.
Det eneste rigtige tidspunkt at bruge addslashes() er mens man bygger en SQL-kommando op. Jeg betragter magic_quotes_gpc som en bjørnetjeneste, og en af de dårligste beslutninger der er taget i PHP’s historie. Den ligger næsten lige så højt som beslutningen om, at det er slået til som standard.
Selv om addslashes() bliver kørt automatisk af PHP, så er der mange der også selv kører addslashes() manuelt. De har lært at det skal man gøre. Men når PHP også gør det, så vil data være “double-escaped“. SQL-serveren klare selv den ene, men den anden gang slashes bliver gemt i databasen. Når man så hiver data ud af databasen, vil det være nødvendigt at køre stripslashes().
Det er nemt at se logikken i, at når man sætter slashes på, så skal de også fjernes igen, men sådan er det altså ikke. Hvis data i databasen er escaped, så er det fordi det har været double-escaped da det blev indsat.
Men en anden ting (som jeg helt overså i første omgang) er, at det vil slet ikke løse dette problem. Problemet her er, at forespørgslen (vis mig galleri X) er gået fra browseren og helt ned i databasen uden på noget tidspunkt at have gennemgået en fornuftig autorisation. Med en god arkitektur vil der et eller andet sted være en overgang mellem frontend og backend, og i den forbindelse er det naturligt at tage stilling til om frontenden nu også har lov til at udføre den forespurgte handling.
Problemet med denne type fejl (selv om det indrømmet ikke er helt klart i dette tilfælde) er ikke så meget fejlen i sig selv, især ikke når nu den er rettet. Problemet er at det afslører en svaghed i arkitekturen, og dermed er der nok flere andre fejl af samme type.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund