Pagina 1 di 2 12 UltimoUltimo
Visualizzazione risultati 1 fino 30 di 56

Discussione: Arriva Sharetext!

  1. #1
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito Arriva Sharetext!

    SHARETEXT

    Il 28 Ottobre 2011 viene registrato su Altervista il dominio sharetext.altervista.org: è la data di nascita di questo nuovissimo portale.
    Il 14 Dicembre 2011, con un post nella sezione “Pubblicità e collaborazione” del forum di Altervista, Sharetext comincia il suo percorso.

    Cos'è Sharetext

    Sharetext è un portale che vuole fare lo stesso che ha fatto Youtube con i video: rendere possibile la pubblicazione di testi di qualsiasi genere su Internet, anche senza avere un proprio spazio web.
    Sharetext supporta tutti i metodi più avanzati per quanto riguarda il web 2.0 del momento: collegamento con Youtube e Twitter, contatore visite, creazione di “librerie” e sistema di amicizie tra utenti.
    Pubblicare un testo è molto semplice, basta inserirlo nella pagina di Upload, scegliere una licenza e, pochi istanti dopo che abbiate fatto click sul pulsante OK, il vostro testo sarà immediatamente disponibile a tutto il mondo.
    In questo modo, potranno essere rivalutati testi personali, come ricerche, romanzi, trattati, saggi, poesie che potranno essere facilmente condivisi con il mondo intero.

    Come si usa

    Usare Sharetext è facilissimo.
    Una volta individuato il testo da pubblicare, basta copiarlo ed incollarlo nella pagina per upload di Sharetext.
    Inoltre, è possibile scrivere testi direttamente dal vostro browser o telefonino!
    È in costruzione la possibilità di poter caricare file ODT e RTF.

    Con che licenza viene distribuito Sharetext

    Quì viene il bello: Sharetext è 100% rilasciato sotto la licenza GPLv3! Questo significa che potrai adattare Sharetext per le tue esigenze e ridistribuirlo a chi vuoi!
    Inoltre, se vuoi apportare un miglioramento a Sharetext sei il benvenuto!

    Sviluppi futuri?

    Come detto, il primo sviluppo sarà quello di consentire l'upload di file ODT e RTF.
    Poi verrà sviluppato un sistema per consentire l'upload di immagini in modo di poter creare gallerie di foto ed arricchire i propri testi con illustrazioni e foto!

    Dove trovo Sharetext?

    Basta che punti il tuo browser su http://sharetext.altervista.org e sei dentro!
    La registrazione è gratuita e i tuoi testi rimarranno on-line per sempre!

  2. #2
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Predefinito

    Una piccola parola ma un grandissimo suggerimento: grafica.
    La grafica è un elemento importantissimo per un sito, che influisce molto su quanto un visitatore resti collegato al sito.
    Molte frasi sono scritte in inglese (per me non è un problema, ma per molti potrebbe esserlo).
    Ti consiglio di migliorare la grafica dell'header, quindi del logo (che dovrebbe mandare alla home page quando viene cliccato) e del menu.
    Ultima cosa: non riesco ad accedere...

  3. #3
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Grazie per i consigli... prova a registrarti ora e fammi sapere ;-)

    Ora metto il link al logo, purtroppo sapete tutti che la grafica è il mio più grande problema...

  4. #4
    Guest

    Predefinito

    Di recente ho visitato alcuni dei tuoi siti. Il mio consiglio è, visto la tua età e il modo in cui progetti i siti, di raggrupparli tutti su matrobriva (a parte digilinux) e gestirli insieme. AlterVista offre la possibilità di sottodomini, quindi perché non approfittarne? Inoltre, la carenza grafica è una costante nei progetti da te realizzati. Cerca di migliorarti, magari scaricando template e usando Photoshop, anche se sei alle prime armi. Frequenta forum di grafica e leggi tutorials. Anch'io alla tua età facevo così, adesso mi ritrovo con mezzo portfolio (anche perché questa voglia di sfornare siti web come biscotti mi è passata) e sono molto contento. Ho una sola e-mail dove ho raggruppato tutte quelle vecchie (anche perché penso che tu ad ogni sito associ un'indirizzo e-mail). Felice di averti supportato. Davide!

    PS. Questo mio discorso è semplicemente un'invito a migliorarti riguardo la sistemazione dei progetti

  5. #5
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Predefinito

    Ciao, adesso mi sono registrato.
    Iniziamo:
    provo a visualizzare la mia pagina e da un bel po' di errori...
    This user is friend of: Twitter not settedYoutube not setted
    List of texts of Lucart98
    ID ERRATO
    Poi ti consiglio di controllare se nel sito web è stato inserito "http://", altrimenti il link conduce ad una pagina interna inesistente.
    Ultima cosa: dovresti ingrandire il campo per aggiungere un testo... è davvero piccolo.
    Ciao!

  6. #6
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Piccolo consiglio sanitize input

    Be riprovando MOOOLTI consigli.
    Ma sicuramente per primi:
    Entrando con la tua utenza ho provato a modificarti l'about, ma l'ha modificato a tutti.
    Poi non si riesce a modificare il testo inserito.

    Insomma devi lavorarci ancora molto.
    Ultima modifica di binarysun : 15-12-2011 alle ore 18.33.41
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  7. #7
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Predefinito

    Non riesco più ad accedere con il mio account...
    Secondo me binarysun ha combinato qualcosa: arrestiamolo!
    Citazione Originalmente inviato da binarysun Visualizza messaggio
    Entrando con la tua utenza ho provato a modificarti l'about, ma l'ha modificato a tutti.
    Hacker!

    Scherzo.
    Comunque il logo non è ancora cliccabile.
    Ultima cosa: aggiungi class="current" al menu soltanto quando si è su quell'opzione.
    E continua a crederci perché è un'ottima idea!
    Basta solo migliorarla.
    Ciao ciao!

  8. #8
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Sono contento che sei riuscito a fare una bella SQL injection (e che il mio software è stato provato da binarysun): dove era la vulnerabilità?

    Il problema dell'ID ERRATO non è un vero e proprio problema, semplicemente non hai testi con il tuo nome, e Youtube e Twitter not setted significa, appunto, che non hai settato i collegamenti con Youtube e Twitter.

    Grazie per le incitazioni a continuare, come avrete notato il percorso è in salita!

    Non ho potuto fare niente per il bottone perchè capisco ben poco di CSS e credevo fosse più facile...

  9. #9
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Predefinito

    Io ti consiglio intanto di avere soltanto una pagina per l'header che gestisci con PHP.
    Sennò poi ti viene veramente complicato gestire tutte le pagine assieme.
    Ultima cosa (per ora ): non riesco più ad accedere!
    Ciao!

  10. #10
    L'avatar di memai
    memai non è connesso Utente
    Data registrazione
    10-02-2010
    Residenza
    Bergamo
    Messaggi
    175

    Predefinito

    Più volte leggo di questo progetto e più continua a piacermi questa idea. Mi piace.
    Notte bistecca, ho l'acquolina in bocca e 'sta sera c'è, carne di manzo per me!

  11. #11
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Allora la vulnerabilità è in tutto il sito.
    Il problema è che non normalizzi le variabili in ingresso e sarebbe la prima cosa da fare.

    Cerca su internet sull'argomento
    Ad esempio
    http://codeassembly.com/How-to-sanitize-your-php-input/

    La cosa migliore sarebbe fare una classe base che lo fa in automatico,
    Nel tuo caso probabilmente ti basta controllare una per una le variabili.

    Banalmente se un dato è un intero controlla che sia numerico, se è un testo controlla che non contenga caratteri strani, se è una data sia effettivamente una data, etc...
    Se il dato non è quello che si aspetta genera un errore con un messaggio, non dare nulla per scontato di quello che può essere inserito dall'utente.

    Un'altra cosa poi è l'inserimento di testo e immagini.
    Un testo potrebbe essere in realtà uno script javascript o peggio, quindi devi controllare anche i testi inseriti dagli utenti.

    Un'altra cosa ancora sono le immagini, l'utente potrebbe uploadare un immagine che in realtà è uno script PHP rinominato in .jpg, a quel punto sarebbe facile includerlo ed eseguire il codice che vuole nel tuo sito.

    ....insomma, diffida degli utenti, anche se registrati.
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  12. #12
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    @Lucart: ho già una header.html che includo ovunque, ma ancora non sono in grado di lavorare bene con il CSS... con tutte le vulnerabilità che ci sono al momento è impossibile pensare di lavorare anche alla grafica!!!
    La password è stata cambiata da tutti a causa di una SQL_injection, ora ti ho dato la password youquiz, cambiala!

    @Memai: sono molto contento che il progetto ti piaccia!

    @Binary: mi sembra strano che sia così facile fare SQL_injection, ho letto la guida che mi hai linkato, ora provvederò a fare questo ulteriore controllo sui dati immessi, tuttavia se dai un'occhiata al sorgente ti dovresti accorgere che ho sempre usato per ogni dato immesso il SANITIZE_STRING, quindi non riesco a trovare la pagina da cui tu hai messo il codice SQL... Potresti indicarmela? (magari in un MP)

  13. #13
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    @Binary: mi sembra strano che sia così facile fare SQL_injection, ho letto la guida che mi hai linkato, ora provvederò a fare questo ulteriore controllo sui dati immessi, tuttavia se dai un'occhiata al sorgente ti dovresti accorgere che ho sempre usato per ogni dato immesso il SANITIZE_STRING, quindi non riesco a trovare la pagina da cui tu hai messo il codice SQL... Potresti indicarmela? (magari in un MP)
    Ho guardato velocemente ma non vedo nessun controllo.
    in Login c'è un bel
    Codice PHP:
    $nick=$_POST['nick'];
    $pwd=$_POST['pwd'];

    $sql="SELECT * FROM sharetext_users WHERE nick='$nick' and pwd='$pwd'";
    Ma anche tutte le altre pagine

    Tra l'altro distribuendo anche il codice so il nome delle tabelle e avrei potuto fare danni maggiori.

    Aggiungo.
    Rivedi come fai il codice, così un sito è ingestibile.
    Ultima modifica di binarysun : 16-12-2011 alle ore 15.34.38
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  14. #14
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Cavolo, il login non l'avevo proprio visto... ora ho modificato il codice così:

    Codice PHP:

    $nick
    = addslashes(filter_var($_POST['nick'], FILTER_SANITIZE_STRING));
    $pwd = addslashes(filter_var($_POST['pwd'], FILTER_SANITIZE_STRING));

    $sql="SELECT * FROM sharetext_users WHERE nick='$nick' and pwd='$pwd'";
    Ho dato una riguardata ed ore le pagine che vengono usate non sono più scoperte in input (usando sempre il FILTER_SANITIZE_STRING... probabilmente le pagine che hai visto scoperte sono delle vecchie pagine di lavoro che non ho cancellato al momento della creazione dello script (e non sono sullo spazio web).

    Gli unici input scoperti sono quelli provenienti dai tag input nascosti... quelli sono vulnerabili oppure è impossibile editare un input nascosto?

  15. #15
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    nada
    Esempio.
    http://sharetext.altervista.org/read...;x'='x


    Ma non è solo questa pagina
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  16. #16
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    è vero, dovrei sanitizzare anche i $_get...

    ora non posso, appena torno sanitizzo tutto...

  17. #17
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Dovresti fare qualcosa di meglio, riutilizzare il codice.

    Metti in un file una funzione tipo quella che ti avevo postato
    Codice PHP:
    function sanitize($var, $type)
    {
    switch (
    $type ) {
    case
    'int': // integer
    $var = (int) $var;
    break;
    etc...
    Aggiungi in case come vuoi tu e poi includi (via include) il codice in tutte le pagine.
    E poi lo utilizzi.

    In questo modo se dovrai fare una modifica alla normalizzazione delle variabili basterà intervenire su una sola funzione.
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  18. #18
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Sto provando ad implementare lo script che hai postato...
    Si lavora molto meglio così ed ho già creato dei case specifici per alcune esigenze di Sharetext... tuttavia non riesco a far funzionare la funzione...

    Dopo averla inclusa,
    Codice PHP:
    $id = sanitizeOne($iddapulire, int);
    Id non contiene nulla (nonostante iddapulire contenga l'intero da controllare)...
    Da cosa può dipendere?

  19. #19
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    int con le virgolette
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  20. #20
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Exclamation

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    con tutte le vulnerabilità che ci sono al momento è impossibile pensare di lavorare anche alla grafica!!!!
    Giustissimo!!!

    Citazione Originalmente inviato da digilinux Visualizza messaggio
    La password è stata cambiata da tutti a causa di una SQL_injection
    Ahahah nemmeno al sito della NASA ci sono tutte queste injection!

    Comunque lavora perché ancora ne hai da lavorare...
    Ad esempio adesso non si può leggere più niente né caricare foto.
    La cartella di destinazione non esiste
    Ciao!

  21. #21
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Sostituendo la stringa così:

    $id = sanitizeOne('$iddapulure', 'int');

    $id corrisponde a 0.

    idem così:

    $id = sanitizeOne($iddapulure, 'int');

  22. #22
    makingweb non è connesso Utente attivo
    Data registrazione
    30-06-2009
    Messaggi
    281

    Predefinito

    Bell'idea.
    Piccoli suggerimenti:
    - Non riesco a caricare le immagini (errore: La cartella di destinazione non esiste)
    - Grafica un po' spartana e il menù si confonde troppo con lo sfondo

  23. #23
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Al momento Sharetext non funziona perchè sto aspettando di riuscire a far funzionare la funzione di binarysun ;-)

  24. #24
    L'avatar di memai
    memai non è connesso Utente
    Data registrazione
    10-02-2010
    Residenza
    Bergamo
    Messaggi
    175

    Predefinito

    Io se vuoi digilinux posso aiutarti per la grafica una volta finita la programmazione.

    Per le variabili io intanto ti consiglio di usare: mysql_real_escape_string().
    Notte bistecca, ho l'acquolina in bocca e 'sta sera c'è, carne di manzo per me!

  25. #25
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Nessuno sa come far funzionare la funzione di sanitizzazione?
    Grazie memai per il tuo appoggio, sto aspettando di usare la funzione di binarysun, mi sembra proprio quello che ci serve...

    Sono contento che tu possa aiutarmi con la grafica, se vuoi cominciare a buttare giù logo o template mandami una mail ;-)

  26. #26
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Allora, la sintassi corretta è

    sanitizeOne($iddapulure, 'int');

    Nel tuo caso probabilmente ha solo dimenticato il return $var finale
    Ultima modifica di binarysun : 18-12-2011 alle ore 17.25.20
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  27. #27
    L'avatar di radiodelmomento
    radiodelmomento non è connesso AlterGuru
    Data registrazione
    09-09-2010
    Messaggi
    1,075

    Predefinito

    Ciao.
    Intanto sappi che io di logo non ne so fare uno, ma ci ho provato.
    Comunque lo posto, anche se so che chiunque può fare di meglio.

    Poi quando finisci di sistemare tutto anch'io potrei aggiustare il sito graficamente e magari mettere anche un po' di JS e AJAX.
    Bye!
    Ultima modifica di radiodelmomento : 18-12-2011 alle ore 21.31.10

  28. #28
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Ho implementato tutti i controlli di sicurezza suggeriti da binarysun, se qualcuno vuole offrirsi di fare il debug è benvenuto!

    Ho anche inserito il logo di Lucart ;-)

  29. #29
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,745

    Predefinito

    Non ci siamo ancora, usi la funzione sbagliata per proteggere i dati da inserire nella query, devi usare la funzione indicata memai.

  30. #30
    L'avatar di digilinux
    digilinux non è connesso Utente attivo
    Data registrazione
    27-04-2009
    Messaggi
    478

    Predefinito

    Ho aggiunto la funzione di memai in sanitize.php, aggiungendolo alla classe suggerita da binarysun...
    Dove siete riusciti a fare l'ultima SQL injection? Per favore indicate, anche solo per curiosità e per poter trovare all'istante la vulnerabilità ;-)

Pagina 1 di 2 12 UltimoUltimo

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •