Internet.kotala.info hacknut...

Jaké bylo dnes moje překvapení, když jsem po kliknutí na tlačítko "Odkazy" na serveru internet.kotala.info uviděl řadu sličných míň než spoře oděných slečen. Zjistil jsem, že zadávání žádostí na výměnu odkazů není dostatečně chráněno, takže se někomu podařilo zadat skript. Doufám, že jsem to polepil, ale kdo ví na jak dlouho...

1. Komu se to podařilo - díky za to, zase se posunu kousek dál (pokud mě kontaktuje přes PM a dodá důkaz, uvedu ho ochotně na titulní stránce jako "Děkujeme za odbornou pomoc"), když mi dá informace o dalších možných útocích, budu rád
2. jedna hodnota nebyla konvertována pomocí htmlspecialchars, to opravím, ale stejně jsem si uvědomil, nemáte s tím někdo zkušenosti, aby se to nezačalo využívat na reklamu porna - měl bych zrušit automatické zařazování a všechno schvalovat? Nepoužívají se na řešení tohoto problému nějaké ustálené rozumné chytré metody?

Díky
Pavel

PS: Hlavně, že jsem si před časem četl tohle vlákno

http://webtrh.cz/4624-zamezit-vklada...riptu-databaze

, ale vůbec jsem nevěděl, že se mě to týká...

Pokud nebudes mit manualne kontrolovane odkazy tak ti vzdycky nekdo najde zpusob jak to hacknout a zacit ti to spamovat. Je to pak jen otazka toho jestli das prednost ulehceni si prace a sem tam to promazes, nebo to budes muset kontrolovat.

Ja osobne bych byl liny na manual a proto bych udelal tyhle opatreni:
1. Do pridavaciho formulare bych dal Captchu
2. Kontroloval bych to na urcite IP adresy pridavatele a domeny na ktere to odkazuje jestli to neni na black listu. Ten bych aktualizoval pokazde, kdyz by tam nekdo tenhle bordel poslal.
3. Kontroloval bych to na zakazana slova jako "sex, boobs, fuck" ... tam je akorat problem kontrolovat co muze byt jeste rozumne pouziti. Abys treba neomezil normalni stranky typu: "Vyuka o sexu na skolach"