Баг на сайте Злого Гения
Захожу я в свой твитер сегодня, смотрю что кто то новый меня читает, оказалось что это Злой Гений какой-то, в общем сайт там рекламировался, который позволяет загружать типа веселые картинки, мемы в общем. Так вот захожу я на него и вижу в информации о том как добавить картинку, что там используется TinyMCE редактор, ну и решил показать админу на его ошибку в этом плане. Зарегистрировался, кстати мыло можно любое указывать, подтверждения не приходит)
И лезу добавлять картинку, убеждаюсь что там реально редактор, в котором можно править html, загружаю тестовую картинку в свойствах которой указал только вертикальные и горизонтальные отступы по 150рх - смотрю, работает, следовательно модерации никакой посты не проходят, потом беру своего крокодила из прошлой статьи и указываю для него размеры 1200px на 1200px и стиль:
position:absolute; top:0; right:0;
сохраняю, и наблюдаю вот такую картину))
В общем довольно забавно получилось) Правда через некоторое время крокодила убрали, а меня забанили по IP, а т.к. IP у меня статический, я этот сайт могу теперь увидеть только под прокси, или с другого компа, но не велика потеря)) Хотя я конечно хотел еще попробовать туда JS впихнуть, и когда заливаешь аватар, можно какой-нибудь php файлик в виде картинки попробовать закинуть, мне кажется могло бы получиться т.к. безопасность сайта на минимальном уровне
В общем, что я хотел показать этой статьей:
- не нужно в паблике использовать графические HTML редакторы, bbCode вам в помощь;
- не нужно вообще использовать редакторы там где они не нужны, тут намного правиле было бы сделать просто загрузчик картинок, т.к. пользователи не будут загружать картинки на другой сервер, а потом сюда вставлять адрес картинки, и вообще картинки надо хранить у себя не сервере;
- тестировать надо свой проект на различного рода атаки перед тем как публиковать его.
Вы можете оставить первый комментарий