JBTALKS.CC

标题: 大家来show show 你的网站， [打印本页]

作者: weitc88 时间: 2010-8-30 01:18 PM
标题: 大家来show show 你的网站，
大家来show show 你的网站，

hosting 年费
工能：
注册网址：
diy 还是别人做的。。。

作者: weitc88 时间: 2010-8-30 01:20 PM
本帖最后由 weitc88 于 2010-8-30 01:23 PM 编辑

http://yesfreesite.bizbook.my/
http://systemautomated.bizbook.my/
hosting 年费:free
工能：template or html
注册网址：www.bizbook.my
diy 还是别人做的。。。 : DIY

作者: Super-Tomato 时间: 2010-8-30 04:23 PM

大家来show show 你的网站，

hosting 年费
工能：
注册网址：
diy 还是别人做的。。。
weitc88 发表于 2010-8-30 01:18 PM

呃～～～那麽這帖的意义何在??
各人覺得網頁發展方向和技术等层面探討會比較有show的价值

作者: weitc88 时间: 2010-8-30 06:39 PM
没啦，想看看大家的网站和工能，考滤换网站。。。

作者: 小恶魔J@YL()NG 时间: 2010-9-3 01:59 AM
献丑献丑~

fjliving.com
diw2u.com
morebirds.my
nazartt.com
mandarinstories.com

......还有一些。。呵呵

作者: weitc88 时间: 2010-9-3 08:18 AM
回复 5# 小恶魔J@YL()NG

你是 web designer？？

作者: 小恶魔J@YL()NG 时间: 2010-9-3 09:02 AM
我啊，programmer吧，主要是网页的

作者: weitc88 时间: 2010-9-13 03:59 PM
没有了吗？？？

作者: 小恶魔J@YL()NG 时间: 2010-9-14 07:19 PM
你要看我所有做过的阿？ lol。。

作者: wewanwang 时间: 2010-9-15 11:14 PM
献丑了。。。

http://infinitech.biz/demo/bigband/
http://infinitech.biz/demo/corsa/
http://infinitech.biz/demo/mbmdemo/

作者: weitc88 时间: 2010-9-17 01:03 PM
回复 10# wewanwang
哗。。。专业级的哦。。。。。

作者: weitc88 时间: 2010-9-17 01:05 PM
回复 10# wewanwang

你是 web designer？？

作者: weitc88 时间: 2010-9-17 01:08 PM
回复 9# 小恶魔J@YL()NG

有什么free 和好用的 domain 吗？？

作者: wewanwang 时间: 2010-9-17 10:23 PM

你是 web designer？？

献丑了。。。我是programmer，design是我的拍档负责。

作者: weitc88 时间: 2010-9-18 09:31 AM
回复 14# wewanwang

free lancer ??

作者: wewanwang 时间: 2010-9-18 09:50 AM

free lancer ??

不是的，我有自己的公司。

作者: wongch 时间: 2010-9-18 10:31 PM
http://www.jbgoodgood.com
hosting 年费: 忘了。。。
工能：Pure html
diy 还是别人做的。。。 : 帮人家做的

http://www.xzh.com.sg/
hosting 年费: SGD 90
工能：Joomla CMS 基本template JA_Purity
diy 还是别人做的。。。 : 帮人家做的

作者: 靈山 时间: 2010-10-8 04:39 PM
請多多指教 .....

http://www.suterahub.my

作者: wewanwang 时间: 2010-10-24 05:08 PM

請多多指教 .....
靈山发表于 2010-10-8 04:39 PM

不错哦，只是中间部分感觉比较空荡。。加油

作者: weitc88 时间: 2010-10-25 09:29 AM
回复 18# 靈山

大家来show show 你的网站，

hosting 年费
工能：
注册网址：
diy 还是别人做的。。。

作者: 靈山 时间: 2010-10-25 09:42 AM
本帖最后由靈山于 2010-10-25 03:17 PM 编辑

不错哦，只是中间部分感觉比较空荡。。加油
wewanwang 发表于 2010-10-24 05:08 PM

中間是保留位子～～～都是以商家的資料為準。
謝謝！！！你也一樣喔～～～大家一起努力加油～～～

作者: 靈山 时间: 2010-10-25 09:56 AM

回复靈山

大家来show show 你的网站，

hosting 年费
工能：
注册网址：
diy 还是别人做 ...
weitc88 发表于 2010-10-25 09:29 AM

不好意思。。。我來說明下：

hosting 年費是：RM 273.89 （公司註冊兩年所以是：RM 486.78）
功能：主要是以各路商家提供資訊。消費者就能知道更多的info了！
注册网址：http://www.exabytes.com.my/web-hosting/small-business-hosting/
自己DIY的！

作者: wewanwang 时间: 2010-10-25 10:54 AM
哦，忘了说明。。。

http://infinitech.biz/demo/bigband/
http://infinitech.biz/demo/corsa/
http://infinitech.biz/demo/mbmdemo/

hosting 年費是：RM 155 （免费domain）
功能：CMS，shopping cart, travel hotel room booking
注册网址：自己的伺服器（Linux based，http://www.infinitech.com.my）
自己DIY的！

作者: answerwong 时间: 2010-10-26 11:14 AM
让我大开眼见，多谢分享。

作者: chwahwa 时间: 2010-10-29 06:17 PM
提示: 作者被禁止或删除内容自动屏蔽

作者: answerwong 时间: 2010-10-29 07:34 PM
你们好，我想请教各位有经验的大哥们。本人做的web design 不是很吸引人游览，很差。如果有高手可以帮忙我愿意给网址。
欢迎提供意见。

作者: weeming21 时间: 2010-10-29 09:52 PM
回复 18# 靈山

不错
你host的服务器有安装mod_security了，已经能有效的防范普通的sql injection攻击，但是你却把那些参数经过 base64加密，那么magic_quoate_gpc 以及 mod_security 过滤就完全被忽略，而造成了你网站存在sql injection漏洞的出现了。
POC:
http://www.suterahub.my/index?ur ... T0nYWRtaW5wcm8nIw==

不过还好，你网站用户密码的加密方式不是单纯的md5,有加入Salt或多次md5,所以密码无法通过彩虹表爆出来。

作者: Super-Tomato 时间: 2010-10-30 03:01 AM
本帖最后由 Super-Tomato 于 2010-10-30 03:02 AM 编辑

不错
你host的服务器有安装mod_security了，已经能有效的防范普通的sql injection攻击，但是你却把那些参数经过 * 加密，那么magic_quoate_gpc 以及 mod_security 过滤就完全被忽略，而造成了你网站存在sql injection漏洞的出现了。
POC:
http://www.suterahub.my/index?ur ... T0nYWRtaW5wcm8nIw==

不过还好，你网站用户密码的加密方式不是单纯的md5,有加入Salt或多次md5,所以密码无法通过彩虹表爆出来。
weeming21 发表于 2010-10-29 09:52 PM

噗～～～你怎么把加密方式写出来

回复 18# 靈山
不過不只 vid 参數，url 参數的两次加密方式也最好一起改改，這類加密方式很容易被别人看出來反而更有想一窥的冲动

作者: weeming21 时间: 2010-10-30 03:30 AM
回复 28# Super-Tomato

安那
他的密码加密方式破不出，不是单纯的md5，所以最后还是安全的，只是质料会外泄吧了

作者: Super-Tomato 时间: 2010-10-30 08:05 AM

回复 Super-Tomato

安那
他的密码加密方式破不出，不是单纯的md5，所以最后还是安全的，只是质料会外 ...
weeming21 发表于 2010-10-30 03:30 AM

weeming 你有收集 md5 密碼庫?? 但除了 SELECT 還有其他指令可行吧，如果没備份資料的話就麻煩囉

作者: weeming21 时间: 2010-10-30 08:26 AM
本帖最后由 weeming21 于 2010-10-30 08:33 AM 编辑

weeming 你有收集 md5 密碼庫?? 但除了 SELECT 還有其他指令可行吧，如果没備份資料的話就麻煩囉
Super-Tomato 发表于 2010-10-30 08:05 AM

彩虹表250GB的
share hosting给的mysql权限是不能into outfile和loadfile的，所以写Shell或读取数据配置文件是不可能的了
mysql select 过后无论怎样的union都是无法update或delete的，所以无法进一步动作
唯一能搞的就是爆密码，拿 inject出来的密码(我的账号）和我注册账号的密码作对比是完全不一样的md5 hash,所以可以断定密码加了salt，在未知salt的情况下是无法解的.

作者: Super-Tomato 时间: 2010-10-30 09:43 AM

彩虹表250GB的
share hosting给的mysql权限是不能into outfile和loadfile的，所以写Shell或读取数据配置文件是不可能的了
mysql select 过后无论怎样的union都是无法update或delete的，所以无法进一步动作
唯一能搞的就是爆密码，拿 inject出来的密码(我的账号）和我注册账号的密码作对比是完全不一样的md5 hash,所以可以断定密码加了salt，在未知salt的情况下是无法解的.
weeming21 发表于 2010-10-30 08:26 AM

原來你有帳號在里面哦，不然還以為你真的花時間去比對单向加密
剛測試過了就只是单纯 select schema 得出数据库資料，insert 等指令没办法操作

作者: 靈山 时间: 2010-10-30 12:32 PM
本帖最后由靈山于 2010-10-30 12:54 PM 编辑

回复靈山

不错
你host的服务器有安装mod_security了，已经能有效的防范普通的sql injection攻击，但 ...
weeming21 发表于 2010-10-29 09:52 PM

謝謝！！weeming21 的教導！！！！
本來我的用戶組的密碼只是單純的 md5 。有一次看到人家的加密法。覺得安全性很高。就跟著用了！

可否請 weeming21 教教我要怎麼樣才能不讓資料外流？

作者: weeming21 时间: 2010-10-30 04:59 PM
回复 32# Super-Tomato

对呀，右上可以注册嘛

作者: weeming21 时间: 2010-10-30 05:13 PM
去读读sql injection的防范
一般上，在提取$_GET,$_POST,$_REQUEST,$_COOKIE,$_SERVER时进行过滤，如果参数是
integer:
以intvat($_XXX) 提取，及在带入sql语句的时候务必加上' '
如:
$a = intval($_GET[a]);
$sql = "select * from table where id='$a' ''; //id就算是integer也是可以用‘做闭合，以防止hex注入

string:
那么就 addslashes($_XXX)，以过滤’、”等非法字符，会自动加一个\符号在前面，
如:
$a = "a' or 'x'='x";
$a = addslashes($a);
echo $a; // $a= "a\' or \'x\'=\'x"

ps: 由于你的参数是base64加密，所以必须先base64_decode,才进行intval或addslashes过滤

这些只是一些基本的，还必须注意很多东西

作者: klvntan 时间: 2010-10-30 05:21 PM
我的。。。
http://www.infotrex.net
http://www.iva.com.my
http://www.emix.com.my
http://www.telelink.net.my
http://www.55parttime.com

hosting 年费: -
工能：商品展示工能，有CMS 系统，有户可以自行修改内容和照片。
注册网址：-
Design 和 programming 是我一个人做的。：P

作者: weeming21 时间: 2010-10-30 06:44 PM
回复 36# klvntan

access数据库，注意一下sql injection, 还有后台那个pdf上传可以上传可执行文件
稍微路过一下:
http://www.emix.com.my/hello.txt
http://www.iva.com.my/hello.txt

作者: klvntan 时间: 2010-10-30 06:55 PM
回复 37# weeming21

可以fixed sql injection 吗？
请教一下可以吗？谢谢。。。

作者: weeming21 时间: 2010-10-31 12:16 AM
建议先去了解sql injection如何形成，然后对所有输入进行过滤后，才带入Sql语句

作者: Super-Tomato 时间: 2010-10-31 12:30 AM

回复 klvntan

access数据库，注意一下sql injection, 还有后台那个pdf上传可以上传可执行文件
稍微路 ...
weeming21 发表于 2010-10-30 06:44 PM

哈，這两天都很有空哦可以帮忙測漏洞，下次會找你順便帮我找

作者: weeming21 时间: 2010-10-31 12:41 AM
回复 40# Super-Tomato

偶而还是要练练手，不然会生疏，哈

作者: 靈山 时间: 2010-11-1 01:47 PM

去读读sql injection的防范
一般上，在提取$_GET,$_POST,$_REQUEST,$_COOKIE,$_SERVER时进行过滤，如果参数 ...
weeming21 发表于 2010-10-30 05:13 PM

謝謝！！原來還有這樣的東西喔！！！現在知道了！謝謝！！！

作者: haocheap 时间: 2010-12-16 08:13 PM

呃～～～那麽這帖的意义何在??
各人覺得網頁發展方向和技术等层面探討會比較有show的价值
Super-Tomato 发表于 2010-8-30 04:23 PM

同意

作者: momoko81 时间: 2011-1-9 03:09 PM
各位，有谁能够帮我的公司的网站做booking engine
麻烦请pm

谢谢

欢迎光临 JBTALKS.CC (https://jbtalks.my/)