วันนี้พอแค่นี้ก่อน เว็บหางาน จ้างทำมันแพง ทำเองเลย

comscizaa · 15 กันยายน 2011, 21:04:02

ทำเองจนใกล้เสร็จ ใกล้เวลาจะเปิดตัว เลยอยากเอามาให้ลองเล่นก่อนครับ อยากได้ขอเสนอแนะด้วยนะครับ ว่าอยากให้เพิ่มในส่วนไหน
สำหรับเว็บหางานของผม ผมว่ายากมากๆ กว่าจะคิดออกแบบฐานข้อมูลแต่ละระบบออก เห็นว่าจ้างทำมันแพง เลยทำเองเลย เป็นผลงานด้วย
รับรองว่าเสร็จแล้วเปิดให้ใช้ฟรี แน่นอนครับ เว็บนี้เลยครับ

โค้ด เลือก

http://www.joblamphun.com

ผู้ประกอบการ
1. ชื่อผู้ใช้=>fondcome รหัสผ่าน=>053125342
2. ชื่อผู้ใช้=>vayotradecenter รหัสผ่าน=>vayotradecenter
3. ชื่อผู้ใช้=>B2greencm รหัสผ่าน=>053225444

เป็นข้อมูลที่ผมเพิ่มเข้าไปเองนะครับ ไม่เกี่ยวกับผู้ประกอบการ ห้างร้าน หรือบริษัท ที่มีชื่อดังข้อมูลที่ผมเพิ่มเข้าไปในระบบนะครับ
ผมเพิ่มเข้าไปเพื่อทดสอบระบบ ไม่ได้มีเจตนาคิดร้ายแต่ประการใด นะครับ

สำหรับคนหางาน ลองสมัคร แล้วลองเอง

+1 ทุกข้อเสนอแนะครับ

ปล. หากตั้งกระทู้ผิดห้อง ขอโทษด้วยนะครับ รบกวนย้ายได้เลยครับ

ossytong · 15 กันยายน 2011, 21:06:09

เว็บท่านมีช่องโหว่ XSS ครับ

WonderThailand · 15 กันยายน 2011, 21:14:52

กำลังต้องการ Script แบบนี้อยู่เลย
ลองเล่นคร่าวๆ OK ครับ ตอบโจทย์ที่ต้องการ
อาจมี แมลง เล็กน้อยก็ค่อยแก้ไป ....

แต่ที่ต้องแก้โดยด่วน
Error หน้าแรก ที่ทักทาย ก่อนเข้าเวปเลยว่า
"แสร่ดดด"

-- "Sadasd" --

comscizaa · 15 กันยายน 2011, 21:17:03

อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:06:09
เว็บท่านมีช่องโหว่ XSS ครับ

ขอบคุณครับ แล้วเราจะมีวิธีแก้ไข ยังไง อ่ะครับ ผมเป็นมือใหม่ ซะด้วย สิครับ

ในส่วนของลงประกาศฟรี ลงได้เลยนะครับ ผมไม่ลบครับ ถ้าเอาใช้จริง dofollow ด้วยนะครับ

comscizaa · 15 กันยายน 2011, 21:19:27

อ้างถึงจาก: WonderThailand ใน 15 กันยายน 2011, 21:14:52
กำลังต้องการ Script แบบนี้อยู่เลย
ลองเล่นคร่าวๆ OK ครับ ตอบโจทย์ที่ต้องการ
อาจมี แมลง เล็กน้อยก็ค่อยแก้ไป ....

แต่ที่ต้องแก้โดยด่วน
Error หน้าแรก ที่ทักทาย ก่อนเข้าเวปเลยว่า
"แสร่ดดด"

-- "Sadasd" --

สงสัยจะโดน XSS แบบที่ท่านข้องบนว่าอ่ะครับ
ต้องแก้ไขยังไง อ่ะครับ

WonderThailand · 15 กันยายน 2011, 21:20:56

อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:17:03
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:06:09
เว็บท่านมีช่องโหว่ XSS ครับ

ขอบคุณครับ แล้วเราจะมีวิธีแก้ไข ยังไง อ่ะครับ ผมเป็นมือใหม่ ซะด้วย สิครับ

ในส่วนของลงประกาศฟรี ลงได้เลยนะครับ ผมไม่ลบครับ ถ้าเอาใช้จริง dofollow ด้วยนะครับ

XSS = Cross Script

ถ้าใช้ Share Host แก้ยากครับ

ถ้าอยากหาช่องโหว่ของเวป ก็ลองหา..

Acunetix Web Vulnerability Scanner ไปใช้ดูครับ

comscizaa · 15 กันยายน 2011, 21:23:17

อ้างถึงจาก: WonderThailand ใน 15 กันยายน 2011, 21:20:56
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:17:03
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:06:09
เว็บท่านมีช่องโหว่ XSS ครับ

ขอบคุณครับ แล้วเราจะมีวิธีแก้ไข ยังไง อ่ะครับ ผมเป็นมือใหม่ ซะด้วย สิครับ

ในส่วนของลงประกาศฟรี ลงได้เลยนะครับ ผมไม่ลบครับ ถ้าเอาใช้จริง dofollow ด้วยนะครับ

XSS = Cross Script

ถ้าใช้ Share Host แก้ยากครับ

ถ้าอยากหาช่องโหว่ของเวป ก็ลองหา..

Acunetix Web Vulnerability Scanner ไปใช้ดูครับ

ขอบคุณครับ เอางานมาให้อีกแระ

ossytong · 15 กันยายน 2011, 21:24:04

หน้าฟอร์มสมัครสมาชิก
จะโดน ยิง เข้าไปได้ครับ
คืนเดียวอาจมีเป็น แสนเป็นล้าน user เข้าไป database ท่านได้ครับ -0-

comscizaa · 15 กันยายน 2011, 21:24:45

แล้วท่านคนนั้นจะมาทำเว็บผม ทำไมนี่ แล้วผมต้องแก้ยังไง ผมเพิ่งเป็นมือใหม่นะครับ

comscizaa · 15 กันยายน 2011, 21:25:39

อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:24:04
หน้าฟอร์มสมัครสมาชิก
จะโดน ยิง เข้าไปได้ครับ
คืนเดียวอาจมีเป็น แสนเป็นล้าน user เข้าไป database ท่านได้ครับ -0-

แล้วผมต้องแก้ ยังไง อ่ะครับ

tanjiratt · 15 กันยายน 2011, 21:26:55

ให้กำลังใจค่ะ ^^' เว็บหางานนี่มันยากแต๊ๆ น้อ

ossytong · 15 กันยายน 2011, 21:27:06

อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:24:45
แล้วท่านคนนั้นจะมาทำเว็บผม ทำไมนี่ แล้วผมต้องแก้ยังไง ผมเพิ่งเป็นมือใหม่นะครับ

ลบข้อมูลใน database ใน recoard ที่มีข้อความที่ขึ้น อยู่ก็หายแล้วครับ

เอา htmlspecialchars มาช่วยครับจะกันได้ครับ

comscizaa · 15 กันยายน 2011, 21:31:19

อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:27:06
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:24:45
แล้วท่านคนนั้นจะมาทำเว็บผม ทำไมนี่ แล้วผมต้องแก้ยังไง ผมเพิ่งเป็นมือใหม่นะครับ

ลบข้อมูลใน database ใน recoard ที่มีข้อความที่ขึ้น อยู่ก็หายแล้วครับ

เอา htmlspecialchars มาช่วยครับจะกันได้ครับ

ขอบคุณครับ แล้วผมจะรู้ได้ไง ว่า record ไหน

WonderThailand · 15 กันยายน 2011, 21:31:41

อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:24:04
หน้าฟอร์มสมัครสมาชิก
จะโดน ยิง เข้าไปได้ครับ
คืนเดียวอาจมีเป็น แสนเป็นล้าน user เข้าไป database ท่านได้ครับ -0-

จริงครับ..

แม้ว่า เวปผมจะปิด Script การสมัครสมาชิก - Rename Script ที่เกี่ยวข้อง

แต่พอรัน Acunetix Web Vulnerability Scanner
มีสมาชิกเพิ่มมาเฉยเลย ...
เขาบอกว่าถ้าต้องการแก้ ให้จ่ายตังค์แล้วเขาจะบอกวิธี...

มีวิธี ป้องกัน XSS ที่ได้ผลไม๊ครับ (แบบไม่ต้องจ่ายตังค์ครับ)

comscizaa · 15 กันยายน 2011, 21:35:05

ผมพอรู้ พอเข้าใจ มาบ้างนิดหน่อยแล้วครับ เกี่ยวกับ xss ถ้าไม่ได้ท่าน ผมไม่รู้นะเนี่ย ขอขอบคุณมากครับ

WonderThailand · 15 กันยายน 2011, 21:40:30

อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:35:05
ผมพอรู้ พอเข้าใจ มาบ้างนิดหน่อยแล้วครับ เกี่ยวกับ xss ถ้าไม่ได้ท่าน ผมไม่รู้นะเนี่ย ขอขอบคุณมากครับ

ถ้าหาวิธีแก้ได้แล้ว

รบกวนแบ่งปันกันด้วยนะครับ .....

comscizaa · 15 กันยายน 2011, 21:42:32

อ้างถึงจาก: WonderThailand ใน 15 กันยายน 2011, 21:40:30
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:35:05
ผมพอรู้ พอเข้าใจ มาบ้างนิดหน่อยแล้วครับ เกี่ยวกับ xss ถ้าไม่ได้ท่าน ผมไม่รู้นะเนี่ย ขอขอบคุณมากครับ

ถ้าหาวิธีแก้ได้แล้ว

รบกวนแบ่งปันกันด้วยนะครับ .....

แบบทีี่ท่าน oos บอกครับ มาลอง พร้อมๆ กันครับ

http://smokietorphp.d-ja.com/archives/44

http://www.thaicreate.com/php/php-htmlspecialchars.html

น่าจะแก้ได้ครับ

comscizaa · 17 กันยายน 2011, 17:45:19

อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:04:02
ทำเองจนใกล้เสร็จ ใกล้เวลาจะเปิดตัว เลยอยากเอามาให้ลองเล่นก่อนครับ อยากได้ขอเสนอแนะด้วยนะครับ ว่าอยากให้เพิ่มในส่วนไหน
สำหรับเว็บหางานของผม ผมว่ายากมากๆ กว่าจะคิดออกแบบฐานข้อมูลแต่ละระบบออก เห็นว่าจ้างทำมันแพง เลยทำเองเลย เป็นผลงานด้วย
รับรองว่าเสร็จแล้วเปิดให้ใช้ฟรี แน่นอนครับ เว็บนี้เลยครับ
โค้ด เลือก ขยาย
http://www.joblamphun.com

ผู้ประกอบการ
1. ชื่อผู้ใช้=>fondcome รหัสผ่าน=>053125342
2. ชื่อผู้ใช้=>vayotradecenter รหัสผ่าน=>vayotradecenter
3. ชื่อผู้ใช้=>B2greencm รหัสผ่าน=>053225444

เป็นข้อมูลที่ผมเพิ่มเข้าไปเองนะครับ ไม่เกี่ยวกับผู้ประกอบการ ห้างร้าน หรือบริษัท ที่มีชื่อดังข้อมูลที่ผมเพิ่มเข้าไปในระบบนะครับ
ผมเพิ่มเข้าไปเพื่อทดสอบระบบ ไม่ได้มีเจตนาคิดร้ายแต่ประการใด นะครับ

สำหรับคนหางาน ลองสมัคร แล้วลองเอง

+1 ทุกข้อเสนอแนะครับ

ปล. หากตั้งกระทู้ผิดห้อง ขอโทษด้วยนะครับ รบกวนย้ายได้เลยครับ

ผมทำระบบสมาชิกคนหางาน กับผู้ประกอบการเสร็จแล้ว ช่วยทดสอบให้ผมหน่อยสิครับ ว่ายังขาดในส่วนไหนอีก ขอคำแนะนำด้วยครับ เหลือแต่หน้าย่อยๆ อีกนิดหน่อย แล้ว ก็ระบบแอดมิน

marketting · 17 กันยายน 2011, 17:54:10

สวยงามครับ ชอบส่วน head บน สวยครับ

nathan.seo29 · 17 กันยายน 2011, 17:57:06

สู้ๆๆนะครับ

thailovesong · 17 กันยายน 2011, 18:02:05

hxxp://www.joblamphun.com/promote/detail-promote.php?id=15

ขอรายละเอียดเพิ่มเติมด้วยครับ....

เว็บสวยมากครับ... เดี๋ยวถ้าเสร็จเรียบร้อย จะขอเข้าไปดูอีกครั้งนะครับ

kakato · 17 กันยายน 2011, 18:23:22

สวยครับ

comscizaa · 17 กันยายน 2011, 18:24:40

อ้างถึงจาก: thailovesong ใน 17 กันยายน 2011, 18:02:05
hxxp://www.joblamphun.com/promote/detail-promote.php?id=15

ขอรายละเอียดเพิ่มเติมด้วยครับ....

เว็บสวยมากครับ... เดี๋ยวถ้าเสร็จเรียบร้อย จะขอเข้าไปดูอีกครั้งนะครับ

ช่างทำไปได้ อิอิ

holidaytours · 17 กันยายน 2011, 18:42:42

แพงถ้างานดีก็คุ้ม แต่ช่วงหลังเห้นมาม่าเยอะจัง

vii · 21 กันยายน 2011, 11:09:58

xss ป้องกันได้ง่ายๆครับ
http://www.okvee.net/articles/secured-form-and-prevent-csrf-xss
หรือใช้ http://htmlpurifier.org/ ก็ได้ครับ

ตัวอย่าง xss เช่น
ในหน้าเว็บมีรับค่า echo $_GET['name']; แล้วมีการเรียก url ?name=<script>alert('ok')</script>
ถ้าตัวอย่างการโจมตีแบบง่ายๆตามข้างบนนี้ htmlspecialchars มันก็กันได้ครับ แต่ถ้ามาแบบอื่นๆเช่นอักขระที่เข้ารหัสมา มันจะกันไม่ได้เลยครับ
ดังนั้นใช้โค้ดจากเว็บผมหรือ htmpurifier จะดีกว่า

แล้วมีอีกอย่างที่ควรรู้คือ csrf (cross site request forgery)
เช่น ในเว็บมีระบบสมาชิก เหยื่อล็อกอินแล้วไม่ได้ล็อกเอาท์
เหยื่อหลงเข้าไปในเว็บกับดัก คลิกที่ฟอร์มหนึ่งที่วางกับดักไว้
ฟอร์มนั้นส่งค่าเข้าไปยังเว็บเป้าหมายที่เหยื่อล็อกอินไว้ โดยเป็นคำสั่งเปลี่ยนอีเมลแก้ไข profile
เหยื่อจบเห่.
อันนี้ก็ป้องกันได้ด้วย captcha หรือใช้สคริปของผมที่ทำแจกไว้ เอาไปใช้ได้ครับ ลิ้งค์ข้างบนเลย

ส่วนคนที่ใช้พวก php framework อย่างเช่น codeigniter สบายๆเลยครับ แค่เขียนเพิ่มนิดหน่อย เพราะของเขาทำมาให้เจ๋งอยู่แล้ว.

cs731 · 22 กันยายน 2011, 14:00:13

เอิ๊กๆๆ แนวว่ะ.เพื่อน...ไม่เสียแรงที่จบ comsci คนแรกของสาขา อิอิ