Just nu i M3-nätverket
Gå till innehåll

Bli kung på ord.


Ernerot

Rekommendera Poster

  • 2 veckor senare...

Detta inlägg postades inte så långt före nyår...

//eforum.idg.se/viewmsg.asp?EntriesId=517796

 

Era sidor verkar inte vara säkert kodade, det verkar vara möjligt att modifiera innehållet i databasen om man vet vad man pysslar med. [sql-injections]

 

html-koden är tyvärr inte speciellt användarvändlig för de som använder screenreaders, dels pga att det saknas alt-texter för bilderna [detta är viktigt eftersom det är just bilder som gör det möjligt att navigera på siten] men också pga att innehållet saknar struktur, allt är text som sedan visuellt har stilats till lite. Det är väldigt svårt för tex en blind att få en helhetssyn av sitens innehåll pga detta. Använd istället html-elementen till det de är till för, dvs

<p> för ett stycke/paragraf, <strong> för fet stil [<b> bör inte användas pga den enbart påverkar det visuella och således inte betonar innehållet annorlunda i screenreaders], <h1-7> för rubriker istället för de klasser ni använder osv osv.

 

 

Bortsett från det tycker jag att det är en kul & bra idé, relativt enkel men effektiv layout, snygga färger är det också [jag gillar kombinationen orange/vit/grå]

 

Länk till kommentar
Dela på andra webbplatser

Om det rör sig om hjälp måste jag tyvärr avböja, jag och forumet hjälper gärna till[jag tror det har hänt förr :)] men då skall det ske här och inte privat via mail.

Det finns väldigt bra svar sedan tidigare om SQL-injections om man använder sökfunktionen, men om du ändå har frågor om ämnet eller om du vill veta hur man gör sidorna mer tillgängliga är du välkommen att ställa dom här.

 

Om du fortfarande vill att jag skall kontakta dig säg till så hör jag av mig.

 

Länk till kommentar
Dela på andra webbplatser

Eventuella sårbarheter diskuterar jag inte gärna publikt. Om du har identifierat någon sådan vore jag tacksam om du tog kontakt med mig.

 

Länk till kommentar
Dela på andra webbplatser

Som sagt, jag hjälper inte privat eftersom detta är ett forum och på så sätt kan man på sikt hjälpa fler än en[1] person.

 

 

Så.. vi spolar fram lite till det viktiga:

 

Möjligheter till SQL-injections uppstår när man slarvat med sin kodning och inte verifierar de datatyper man förväntas få, i det här fallet förväntade ni er ett ord i ett querystring-värde, men om man helt enkelt bara suddar ut det ordet och fyller i ett ' får man ett SQL-felmeddelande. Detta innebär att man kan förstöra en hel del, om rättigheter osv inte är korrekt satta på databasen. Nu är inte databaser mitt starkaste område men jag vill minnas att Magnus Gladh skrev ett väldigt bra inlägg om just detta för inte så länge sedan. Testa att använda eforums sökmotor eller titta på hans profil och bläddra genom hans inlägg den vägen.

 

Här kan du se felet 'in action':

http://www.concipio.se/ord/default.asp?page=8&word='

 

På en annan sida får man type mismatch[ASP-felmeddelande] om man byter ut en siffra mot ett tecken vilket tyder på att ni inte heller där verifierar datatyperna.

 

Så, nu vart det publikt ändå. Men du kan vara lugn, detta är ett forum där vi hjälper varandra, inte tvärt om. Och om nu någon skulle få för sig att förstöra, ja, då loggas dennes IP förmodligen i webloggen osv...

 

 

Det finns fler saker som kan förbättras, bla html & css-koden [de kan både rättas & optimeras]

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...