Jeden z klientów zapytał nas, czy możemy zbudować dla niego system, który pozwoli wybrać poszczególne sekcje z broszury informacyjnej, a następnie wygeneruje dla użytkownika jeden plik PDF z całą wybraną treścią.
Jako przykład podał nam brytyjskiego usługodawcę, który podobne systemiki sprzedaje ich anglojęzycznym kolegom. A strona jego wprawiła nas w zachwyt niemały, a radości pomniejszym i większym końca nie było. Zwłaszcza, kiedy oglądaliśmy źródła ichnich skryptów ASP.
Wystarczyło bowiem zajrzeć w kod HTML, żeby znaleźć taki oto fragment:
<input type=button value=" DOWNLOAD NOW " onclick="javascript:test('C:/webroot/LocalUser/br4589/Website/files/34/userfiles/brochure_197866219.pdf');" >
Piękne, zwłaszcza, kiedy nieco niżej, bo u dołu dokumentu znaleźliśmy to cudeńko:
function test(atch){ window.location.href="download.asp?file="+atch+""; }
Ciekawskim od razu odpowiadam, że tak, można w ten sposób pobrać boot.ini, pliki z katalogu z Windowsem oraz kod całego serwisu. Pogratulować pomysłowości autorom.
Wszystko fajnie, ale gdzie elementarne poczucie etyki? Takie rzeczy publikuje się publicznie bez linków, powiadamiając jednocześnie zainteresowaną firmę… Wstyd, panie kolego, wstyd i poruta…
michu:
Nie ten sajt podlikowałem, ale niech i tak zostanie. To nie jest zwykły błąd typu SQL injection, to jest kompletna amatorszczyzna. Pierwotnie chciałem podlinkować stronę wykonawcy.
A że kompletna amatorszczyzna, to swoją drogą… widziałem różne rzeczy, ale takie kwiatki zdarzają się wyjątkowo rzadko.
Swoją drogą zadziwia mnie, jak to możliwe, żeby ktoś wiedział jak wysłać plik na strumien wyjściowy ASP, ustawić właściwe nagłówki MIME i content-disposition, a jednocześnie nie mieć pojęcia o choćby Server.MapPath() i zrobić coś takiego… Oby mniej takich, oby mniej.
Wniosek z tego płynie jeden - będąc specjalistą w danej dziedzinie więcej zarobisz na doradzaniu klientowi, komu powinien zlecić pracę, niż na samodzielnemu wyrabianiu oprogramowania dla niego.
Dziwne to czasy, w których aby znaleźć kompetencję trzeba korzystać z pośrednika…
Kiedyś przy etapie rekrutacji przeglądałem przykładowe prace zainteresowanych.
Jeden przesłał link do strony oraz do panelu administracyjnego.
Admin leżał mniej więcej w http://www.strona.pl/admin/login.php
Odruchowo zmieniłem to na http://www.strona.pl/admin/ …
i dostałem listę leżących tam plików .php takich jak add_user.php, remove_user.php, list_user.php, oraz admin.php
Wybrałem admin.php (ładna nazwa i przyjemnie się kojarzy) i to był koniec rozmów z tym panem. Tylko login.php sprawdzał hasło i przekierowywał na admin.php, który rzecz jasna już się tym nie zajmował.
Przy okazji poinformowałem firmę o tej bramie (taaakich furtek to się nie produkuje).
A to tylko jeden przykład z wielu.
Heh niezłe, gratulujemy im pomysłowości w tworzeniu skryptów. Hah…
Taka ciekawostka. Próbowałem im kilka razy wysłać maila, ale wygląda na to, że nie działa (znaleziony na stronie) adres “office,” nie działa też “admin” ani “webmaster.” Chyba się poddam.
Umieść im info na pulpicie, to może przeczytają :)
…a w temacie - podobne rozwiązanie funkcjonuje w serwisie http://www.grupazywiec.pl - nazywa się to “Konspekt” ;))
Udało mi się z nimi skontaktować i nawet dostałem odpowiedź - pracują nad problemem.
“pracują”, heh, dwie linijki kodu…
“jak to możliwe, żeby ktoś wiedział”
Zgaduję, że nie wiedział. Copy-Paste - taka przyjemna technika kodowania.
Onjin:
Ja takie kwiatki miałem w większości stron moich poprzedników…. biorąc pod uwagę opinię jaką mieli (i mają) pracodawcy ( bardzo dobrzy programiści, wyjadacze itp.) …. ech…
Niestety takie kwiatuszki pisane przez studentów są częste ;) (pisze to student)