ทำเองจนใกล้เสร็จ ใกล้เวลาจะเปิดตัว เลยอยากเอามาให้ลองเล่นก่อนครับ อยากได้ขอเสนอแนะด้วยนะครับ ว่าอยากให้เพิ่มในส่วนไหน
สำหรับเว็บหางานของผม ผมว่ายากมากๆ กว่าจะคิดออกแบบฐานข้อมูลแต่ละระบบออก เห็นว่าจ้างทำมันแพง เลยทำเองเลย เป็นผลงานด้วย
รับรองว่าเสร็จแล้วเปิดให้ใช้ฟรี แน่นอนครับ เว็บนี้เลยครับ http://www.joblamphun.com
ผู้ประกอบการ
1. ชื่อผู้ใช้=>fondcome รหัสผ่าน=>053125342
2. ชื่อผู้ใช้=>vayotradecenter รหัสผ่าน=>vayotradecenter
3. ชื่อผู้ใช้=>B2greencm รหัสผ่าน=>053225444
เป็นข้อมูลที่ผมเพิ่มเข้าไปเองนะครับ ไม่เกี่ยวกับผู้ประกอบการ ห้างร้าน หรือบริษัท ที่มีชื่อดังข้อมูลที่ผมเพิ่มเข้าไปในระบบนะครับ
ผมเพิ่มเข้าไปเพื่อทดสอบระบบ ไม่ได้มีเจตนาคิดร้ายแต่ประการใด นะครับ
สำหรับคนหางาน ลองสมัคร แล้วลองเอง
+1 ทุกข้อเสนอแนะครับ
ปล. หากตั้งกระทู้ผิดห้อง ขอโทษด้วยนะครับ รบกวนย้ายได้เลยครับ
:wanwan003: :wanwan003: :wanwan003: :wanwan003: :wanwan003:
เว็บท่านมีช่องโหว่ XSS ครับ
กำลังต้องการ Script แบบนี้อยู่เลย
ลองเล่นคร่าวๆ OK ครับ ตอบโจทย์ที่ต้องการ
อาจมี แมลง เล็กน้อยก็ค่อยแก้ไป ....
แต่ที่ต้องแก้โดยด่วน
Error หน้าแรก ที่ทักทาย ก่อนเข้าเวปเลยว่า
"แสร่ดดด" :P
-- "Sadasd" --
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:06:09
เว็บท่านมีช่องโหว่ XSS ครับ
ขอบคุณครับ แล้วเราจะมีวิธีแก้ไข ยังไง อ่ะครับ ผมเป็นมือใหม่ ซะด้วย สิครับ
ในส่วนของลงประกาศฟรี ลงได้เลยนะครับ ผมไม่ลบครับ ถ้าเอาใช้จริง dofollow ด้วยนะครับ
อ้างถึงจาก: WonderThailand ใน 15 กันยายน 2011, 21:14:52
กำลังต้องการ Script แบบนี้อยู่เลย
ลองเล่นคร่าวๆ OK ครับ ตอบโจทย์ที่ต้องการ
อาจมี แมลง เล็กน้อยก็ค่อยแก้ไป ....
แต่ที่ต้องแก้โดยด่วน
Error หน้าแรก ที่ทักทาย ก่อนเข้าเวปเลยว่า
"แสร่ดดด" :P
-- "Sadasd" --
สงสัยจะโดน XSS แบบที่ท่านข้องบนว่าอ่ะครับ
ต้องแก้ไขยังไง อ่ะครับ
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:17:03
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:06:09
เว็บท่านมีช่องโหว่ XSS ครับ
ขอบคุณครับ แล้วเราจะมีวิธีแก้ไข ยังไง อ่ะครับ ผมเป็นมือใหม่ ซะด้วย สิครับ
ในส่วนของลงประกาศฟรี ลงได้เลยนะครับ ผมไม่ลบครับ ถ้าเอาใช้จริง dofollow ด้วยนะครับ
XSS = Cross Script
ถ้าใช้ Share Host แก้ยากครับ
ถ้าอยากหาช่องโหว่ของเวป ก็ลองหา..
Acunetix Web Vulnerability Scanner ไปใช้ดูครับ
อ้างถึงจาก: WonderThailand ใน 15 กันยายน 2011, 21:20:56
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:17:03
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:06:09
เว็บท่านมีช่องโหว่ XSS ครับ
ขอบคุณครับ แล้วเราจะมีวิธีแก้ไข ยังไง อ่ะครับ ผมเป็นมือใหม่ ซะด้วย สิครับ
ในส่วนของลงประกาศฟรี ลงได้เลยนะครับ ผมไม่ลบครับ ถ้าเอาใช้จริง dofollow ด้วยนะครับ
XSS = Cross Script
ถ้าใช้ Share Host แก้ยากครับ
ถ้าอยากหาช่องโหว่ของเวป ก็ลองหา..
Acunetix Web Vulnerability Scanner ไปใช้ดูครับ
ขอบคุณครับ เอางานมาให้อีกแระ
หน้าฟอร์มสมัครสมาชิก
จะโดน ยิง เข้าไปได้ครับ
คืนเดียวอาจมีเป็น แสนเป็นล้าน user เข้าไป database ท่านได้ครับ -0-
แล้วท่านคนนั้นจะมาทำเว็บผม ทำไมนี่ แล้วผมต้องแก้ยังไง ผมเพิ่งเป็นมือใหม่นะครับ
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:24:04
หน้าฟอร์มสมัครสมาชิก
จะโดน ยิง เข้าไปได้ครับ
คืนเดียวอาจมีเป็น แสนเป็นล้าน user เข้าไป database ท่านได้ครับ -0-
แล้วผมต้องแก้ ยังไง อ่ะครับ
ให้กำลังใจค่ะ ^^' เว็บหางานนี่มันยากแต๊ๆ น้อ :P
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:24:45
แล้วท่านคนนั้นจะมาทำเว็บผม ทำไมนี่ แล้วผมต้องแก้ยังไง ผมเพิ่งเป็นมือใหม่นะครับ
ลบข้อมูลใน database ใน recoard ที่มีข้อความที่ขึ้น อยู่ก็หายแล้วครับ
เอา htmlspecialchars มาช่วยครับจะกันได้ครับ
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:27:06
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:24:45
แล้วท่านคนนั้นจะมาทำเว็บผม ทำไมนี่ แล้วผมต้องแก้ยังไง ผมเพิ่งเป็นมือใหม่นะครับ
ลบข้อมูลใน database ใน recoard ที่มีข้อความที่ขึ้น อยู่ก็หายแล้วครับ
เอา htmlspecialchars มาช่วยครับจะกันได้ครับ
ขอบคุณครับ แล้วผมจะรู้ได้ไง ว่า record ไหน :P
อ้างถึงจาก: ossytong ใน 15 กันยายน 2011, 21:24:04
หน้าฟอร์มสมัครสมาชิก
จะโดน ยิง เข้าไปได้ครับ
คืนเดียวอาจมีเป็น แสนเป็นล้าน user เข้าไป database ท่านได้ครับ -0-
จริงครับ..
แม้ว่า เวปผมจะปิด Script การสมัครสมาชิก - Rename Script ที่เกี่ยวข้อง
แต่พอรัน Acunetix Web Vulnerability Scanner
มีสมาชิกเพิ่มมาเฉยเลย ...
เขาบอกว่าถ้าต้องการแก้ ให้จ่ายตังค์แล้วเขาจะบอกวิธี...
มีวิธี ป้องกัน XSS ที่ได้ผลไม๊ครับ (แบบไม่ต้องจ่ายตังค์ครับ)
ผมพอรู้ พอเข้าใจ มาบ้างนิดหน่อยแล้วครับ เกี่ยวกับ xss ถ้าไม่ได้ท่าน ผมไม่รู้นะเนี่ย ขอขอบคุณมากครับ
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:35:05
ผมพอรู้ พอเข้าใจ มาบ้างนิดหน่อยแล้วครับ เกี่ยวกับ xss ถ้าไม่ได้ท่าน ผมไม่รู้นะเนี่ย ขอขอบคุณมากครับ
ถ้าหาวิธีแก้ได้แล้ว
รบกวนแบ่งปันกันด้วยนะครับ .....
อ้างถึงจาก: WonderThailand ใน 15 กันยายน 2011, 21:40:30
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:35:05
ผมพอรู้ พอเข้าใจ มาบ้างนิดหน่อยแล้วครับ เกี่ยวกับ xss ถ้าไม่ได้ท่าน ผมไม่รู้นะเนี่ย ขอขอบคุณมากครับ
ถ้าหาวิธีแก้ได้แล้ว
รบกวนแบ่งปันกันด้วยนะครับ .....
แบบทีี่ท่าน oos บอกครับ มาลอง พร้อมๆ กันครับ
http://smokietorphp.d-ja.com/archives/44
http://www.thaicreate.com/php/php-htmlspecialchars.html
น่าจะแก้ได้ครับ
อ้างถึงจาก: comscizaa ใน 15 กันยายน 2011, 21:04:02
ทำเองจนใกล้เสร็จ ใกล้เวลาจะเปิดตัว เลยอยากเอามาให้ลองเล่นก่อนครับ อยากได้ขอเสนอแนะด้วยนะครับ ว่าอยากให้เพิ่มในส่วนไหน
สำหรับเว็บหางานของผม ผมว่ายากมากๆ กว่าจะคิดออกแบบฐานข้อมูลแต่ละระบบออก เห็นว่าจ้างทำมันแพง เลยทำเองเลย เป็นผลงานด้วย
รับรองว่าเสร็จแล้วเปิดให้ใช้ฟรี แน่นอนครับ เว็บนี้เลยครับ http://www.joblamphun.com
ผู้ประกอบการ
1. ชื่อผู้ใช้=>fondcome รหัสผ่าน=>053125342
2. ชื่อผู้ใช้=>vayotradecenter รหัสผ่าน=>vayotradecenter
3. ชื่อผู้ใช้=>B2greencm รหัสผ่าน=>053225444
เป็นข้อมูลที่ผมเพิ่มเข้าไปเองนะครับ ไม่เกี่ยวกับผู้ประกอบการ ห้างร้าน หรือบริษัท ที่มีชื่อดังข้อมูลที่ผมเพิ่มเข้าไปในระบบนะครับ
ผมเพิ่มเข้าไปเพื่อทดสอบระบบ ไม่ได้มีเจตนาคิดร้ายแต่ประการใด นะครับ
สำหรับคนหางาน ลองสมัคร แล้วลองเอง
+1 ทุกข้อเสนอแนะครับ
ปล. หากตั้งกระทู้ผิดห้อง ขอโทษด้วยนะครับ รบกวนย้ายได้เลยครับ
:wanwan003: :wanwan003: :wanwan003: :wanwan003: :wanwan003:
ผมทำระบบสมาชิกคนหางาน กับผู้ประกอบการเสร็จแล้ว ช่วยทดสอบให้ผมหน่อยสิครับ ว่ายังขาดในส่วนไหนอีก ขอคำแนะนำด้วยครับ เหลือแต่หน้าย่อยๆ อีกนิดหน่อย แล้ว ก็ระบบแอดมิน
สวยงามครับ ชอบส่วน head บน สวยครับ
:wanwan003: สู้ๆๆนะครับ :wanwan003:
hxxp://www.joblamphun.com/promote/detail-promote.php?id=15
ขอรายละเอียดเพิ่มเติมด้วยครับ....
เว็บสวยมากครับ... เดี๋ยวถ้าเสร็จเรียบร้อย จะขอเข้าไปดูอีกครั้งนะครับ :wanwan019:
สวยครับ
อ้างถึงจาก: thailovesong ใน 17 กันยายน 2011, 18:02:05
hxxp://www.joblamphun.com/promote/detail-promote.php?id=15
ขอรายละเอียดเพิ่มเติมด้วยครับ....
เว็บสวยมากครับ... เดี๋ยวถ้าเสร็จเรียบร้อย จะขอเข้าไปดูอีกครั้งนะครับ :wanwan019:
ช่างทำไปได้ อิอิ
:P
แพงถ้างานดีก็คุ้ม แต่ช่วงหลังเห้นมาม่าเยอะจัง
xss ป้องกันได้ง่ายๆครับ
http://www.okvee.net/articles/secured-form-and-prevent-csrf-xss
หรือใช้ http://htmlpurifier.org/ ก็ได้ครับ
ตัวอย่าง xss เช่น
ในหน้าเว็บมีรับค่า echo $_GET['name']; แล้วมีการเรียก url ?name=<script>alert('ok')</script>
ถ้าตัวอย่างการโจมตีแบบง่ายๆตามข้างบนนี้ htmlspecialchars มันก็กันได้ครับ แต่ถ้ามาแบบอื่นๆเช่นอักขระที่เข้ารหัสมา มันจะกันไม่ได้เลยครับ
ดังนั้นใช้โค้ดจากเว็บผมหรือ htmpurifier จะดีกว่า
แล้วมีอีกอย่างที่ควรรู้คือ csrf (cross site request forgery)
เช่น ในเว็บมีระบบสมาชิก เหยื่อล็อกอินแล้วไม่ได้ล็อกเอาท์
เหยื่อหลงเข้าไปในเว็บกับดัก คลิกที่ฟอร์มหนึ่งที่วางกับดักไว้
ฟอร์มนั้นส่งค่าเข้าไปยังเว็บเป้าหมายที่เหยื่อล็อกอินไว้ โดยเป็นคำสั่งเปลี่ยนอีเมลแก้ไข profile
เหยื่อจบเห่.
อันนี้ก็ป้องกันได้ด้วย captcha หรือใช้สคริปของผมที่ทำแจกไว้ เอาไปใช้ได้ครับ ลิ้งค์ข้างบนเลย
ส่วนคนที่ใช้พวก php framework อย่างเช่น codeigniter สบายๆเลยครับ แค่เขียนเพิ่มนิดหน่อย เพราะของเขาทำมาให้เจ๋งอยู่แล้ว.
เอิ๊กๆๆ แนวว่ะ.เพื่อน...ไม่เสียแรงที่จบ comsci คนแรกของสาขา อิอิ