Externer Wachen-Planer

  • Fehler: Beim Erstellen einer Wache kann der "g_user_id" Value manipuliert werden. Somit wird die Wache bei einem anderen Nutzer erstellt, als bei mir (Mit zweit Account probiert und bestätigt)

    Empfehle das entgegennehmen der User ID durch den Session Cookie (Server Seitig)


    Grüße ;) Ich suche weiter

    Oh Danke :S

    Ist durch ein lokales Projekt ohne Session zur Gewohnheit geworden :rolleyes:

  • 2 Fragen - 1. Gibt es eine Zeichenanzahl Höchsgrenze bei den Namen?

    2. Können Falscheingaben gelöscht oder berichtigt werden?


    Ich bin gerade beim Anlegen meiner Wachen habe bei einer Wache die Zusatzangaben verwechselt und bei einer anderen Wache fehlt mir der Name obwohl ich ihn eingegeben habe (FW-BW-Mundepot-Fünfleiten)

    Liebe Grüße

    :evil:l

    Spielername: DJGrisu112

    System: WIN10

    Browser: Firefox aktuelle Version

    ID: 237708


    "Gott zur Ehr - Dem Nächsten zur Wehr":saint:

    Wenn ich einzelne Wörter fett und in Großbuchstaben schreibe ist das kein Schreien sondern eine Hervorhebung:!:

    Ich wünsch mir den DISLIKE-Button wieder :!:

  • 2 Fragen - 1. Gibt es eine Zeichenanzahl Höchsgrenze bei den Namen?

    2. Können Falscheingaben gelöscht oder berichtigt werden?


    Ich bin gerade beim Anlegen meiner Wachen habe bei einer Wache die Zusatzangaben verwechselt und bei einer anderen Wache fehlt mir der Name obwohl ich ihn eingegeben habe (FW-BW-Mundepot-Fünfleiten)

    zu 1.: Ja, gibt es. Die ist aber überall ziemlich hoch. Namen 50 Zeichen, Hinweis/Text 250.

    zu 2.: Ja, bin dabei und kommt als nächstes :thumbup: also kein Problem.

  • Noch eine "Sicherheitslücke":
    Beim Login wird endweder "Falscher Benutzername" oder "Falsches Passwort" ausgegeben. So können Benutzernamen gebruteforced werden.

    Einfach immer die gleiche Fehlermeldung wie "Falsche Login Daten" zurück geben


    LG Lennard ;)

    Und nochmal Danke. ^^:thumbup:

    Ich copy+paste zuviel aus dem falschen Projekt X/

  • Nur was kleines, aber dein Impressum ist nicht auf der Statseite verlinkt ("mail.php" kann ebenfalls nur aufgerufen werden, sobald man sich eingelogged hat, sonst gibts 404), der Pfad ist Browsable (Also man kann sich alle Datein anzeigen lassen, die sich in "/lss_planer_neu" befinden

    Aller guten Dinge sind drei. Auch hierfür vielen Dank! Ist vermerkt und wird morgen Früh alles behoben :thumbup:

  • Ist das dann jetzt die Beta Version? oder wie nennen wir das ganze? ;)


    Aber es sieht für den ersten Blick soweit gut aus.


    Mir sind aktuell folgende Fehler aufgefallen bzw. Dinge die mit der Zeit gelöst werden müssten:
    Evtl. Auf der Home Seite noch etwas gestalten oder gestalten lassen. -> Sieht zur Zeit in meinen Augen etwas leer aus.

    Internes bei den Gebäude Typen unter dem Punkt Wiki in der Beta derzeit nur Leitstelle und Feuerwachen, nicht die Weiterleitung.

    Es sieht nach weiterer Überprüfung des Systems/Programmes so aus, als ob derzeit nur die Feuerwehr und die Leitstelle implementiert ist? Ist das richtig so?

    Bearbeiten der Wachen, Da der Button Gebäude Optionen noch nicht aktiviert ist. Hat EG112 schon bemängelt.

    Weiterleitungen bzw Verlinkungen funktionieren sehr gut.


    Denke aber vieles kommt noch nach und nach

  • Teddybaer28121989


    Nennen wir es Pre-Alpha ;)Das wird noch einiges an Zeit dauern bis da alles so ist wie ich mir das vorstell. Die Seite ist bloß schon da, dass ihr immer mal reinschauen und direkt Fehler melden könnt :thumbup:

    Aber ja da fehlt noch vieles. (Siehe Kommentar wo der Link ist, da steht was aktuell funktioniert :) )

  • LennardTFD

    So. Bin beim Frühstück.

    • User-ID läuft jetzt über Sessions und nicht mehr per Formular.
    • Dateiverzeichnis wird nicht mehr angezeigt
    • Login Daten Falscheingabe-Rückmeldung ist geändert

    Ich habe deine Formular Script Eingaben gesehen. Sollten nicht funktioniert haben (wenn die von dir kamen) :/


    Was ich mir noch nicht angeschaut habe: „Hier ist eine Lücke“ - wird automatisch in der DB nachgeneriert auch wenn man direkt über MySQL-Admin die Einträge löscht. Kommt das von dir? Und wenn ja woher? :S

    ->gelöst durch Leeren der Tabellen, aber wo ist da die Sicherheitslücke? Neue Einträge wurden in den Tabellen auch nicht angezeigt. In den php-Skripten/Dateien wurde nichts geändert/hinzugefügt. Wie war dir das möglich?


    Und schonmal vielen Dank für das umfangreiche Testen auf Probleme und vor allem Sicherheitsproblemen! Da kenn ich mich dann doch zu wenig aus und bin über jede Hilfe froh! :saint:

    2 Mal editiert, zuletzt von ErNobyl ()

  • Die XSS Eingaben waren nen Test. Allerdings nichts von durch gegangen :thumbup:


    Die "Sicherheitslücke" war ledigich die UID die manipuliert werden konnte.


    Ein Nachgenerieren war mir nicht möglich. Vll. Ist das löschen der SQL Eingräge nur schief gelaufen?


    Änderungen an Datein war mir noch nicht möglich. Falls es soweit ist melde ich mich :D

  • So sollte es auch sein ^^


    Ah ok. Die User-ID ist aus den Formularen raus :thumbup:


    Beim nachgenerieren war nur komisch, dass bei gelöschten immer eine neue Eintrag-ID vergeben wurde, aber sollte passen :thumbup:


    Ich hoffe das gelingt dir nicht :D

  • Da hilft nur entweder Daten speichern, oder eben ein neues machen.

  • Da hilft nur entweder Daten speichern, oder eben ein neues machen.

    Klaro, aber ich wollte es halt als Fehler mal melden.


    Glatt vergessen: Ich habe meine Daten gespeichert, diese sind allerdings auch falsch.

    How far are you prepared to go?

    —————————————————————————————————————————————————————

    Mein Verband: https://www.leitstellenspiel.de/alliances/14696

  • Domretto wegen dem oben genannten Fehler mit der automatischen Nachgenerierung von Einträgen musste ich alle Daten löschen. Neues Profil anlegen :):thumbup:


    aber trotzdem Achtung: es kann sein, das die Daten nochmals gelöscht werden. Die ganze Geschichte steht noch ganz am Anfang.

  • Das ist ja auch nur erstmal zum ausprobieren, und evtl Fehler suchen und finden. Ich persönlich würde da selbst noch nicht viel Arbeit zwecks wachen reinstecken. Solange wie es noch am Anfang steht, muss man damit rechnen.

  • Teddybaer28121989

    Das ist richtig.


    Und um das nochmal zu betonen:

    Es handelt sich um ein reines Hobbyprojekt von mir. Fehler/Daten kaputt ist immer möglich. Vor allem in der momentanen Phase :S

  • Kannst du den Button Gebäude bzw Leitstelle einfügen vom Rechten Bildrand an den Linken Bildrand auf selber Höhe verschieben?

    Wenn man das Fenster in Vollbild hat, dann sieht man es nicht sofort. Im verkleinerten Bildschirm Modus, je nach dem wo dein Fenster endet, dann ist das direkt im Blick.


    Ist jetzt nicht zwingend notwendig. Da ich ja jetzt weiß wo ich schauen muss, finde ich es auch beim ersten mal. Außer es bemängeln noch andere.

  • Nochmal nen kurzer Fehler Bericht.


    Fehler 1:

    Beim Erstellen einer Wache kann Lokal die ID der zugeordneten Leitstelle geändert werden.

    Dadurch ist es möglich die eigene Wache einer fremden Leitstellen zuzuordnen.


    Fix Vorschlag:

    Vor dem schreiben in die Datenbank eine Überprüfung machen, ob die zuzuordnende Leitstelle dem gleichen Account gehört


    (Fehler) 2:

    Es ist möglich Wachen/Gebäude ohne Namen oder irgendwelche anderen Daten zu erstellen.


    Fix Vorschlag:

    SPÄTESTENS im Backend eine Überprüfung durchführen, ob der Name >= x Zeichen lang ist


    LG Lennard