Ошибки на портале automated-testing.info

vadim · 30.Январь.2011 19:57:39

Предлагаю выкладывать сюда битые ссылки, баги и прочие милые сердцу тестировщика радости найденные на сайте

Вот и первый: перейдя по ссылке http://automated-testing.info/authors (с банера "Портал ищет авторов") я не увидел никакой информации про условия, на которых можно стать автором портала. Browser: Mozilla Firefox.

polusok · 31.Январь.2011 21:21:44

Спасибо, да, линка была битой. Сейчас страница находиться по адресу http://automated-testing.info/content/stat-avtorom

arturk · 23.Март.2012 17:16:41

Кто-то криво правил футер в генерации страниц:

Все замечания и пожелания присылайте на webmaster@automated-testing.info<a href="http://automated-testing.info/sitemap.html">.</a><br>

Точка осталась ссылкой. Не думаю, что это так задумано. Мелочь, но я троль =)

polusok · 23.Март.2012 17:25:00

спасибо за замечание, сейчас поправим

arturk · 16.Сентябрь.2014 08:53:01

Внизу страницы отображается ошибка Missing Key: topic.read_more_MF
Заодно хочу проверить и возможность инклузивной ошибки

К этому посту приаттачен файл картинка, который собственно после картинки содержит скрипт alert(getScriptPath());. Если найдется любая XSS уязвимость, то подобным образом можно будет запустить скрипт любой сложности как на сервере так и на стороне клиента. Просто нужно будет начать читать файл с нужного места. Более того, возможно наверное даже создать сам JPEG файл содержащий только javascript. Эта идея интересная, но над практической реализацией я пока не думал ))
Картинка здесь
automated-testing.info/uploads/default/451/648ea23561b9fd5e.jpg

Возможное решение - обрабатывать загружаемые картинки переконвертируя их.
Второе поведение - это то что к картинке даже перед тем как сообщение отправлено уже указывается путь, тоесть, можно залить файл не оставляя сообщение. Потенциально такая комбинация чревата DOS атакой, когда я буду отправлять JPEG картинки на 2 гигабайта до тех пор, пока не забью всё место на сайте и на форуме никто этого не заметит, сообщений не будет видно. И это не займет много времени, часа 2 максимум при моей ширине канала. Если же проводится проверка на размер картинки (не проверял, это уже не столь важно), то тоже не проблема, просто сделать робот который будет засылать мелкие картинки. По времени будет процентов на 20-30 дольше.

arturk · 22.Сентябрь.2014 13:36:36

TRACE запросы запрещены на портале - что правильно, но сервер возвращает свою версию, которая мягко говоря - довольно устарела и с 2012 года уже содержит пару эксплойтов в базе данных

arturko@ARTURKO-NOTE /cygdrive/e/work/tools
$ curl -X TRACE automated-testing.info
<html>
<head><title>405 Not Allowed</title></head>
<body bgcolor="white">
<center><h1>405 Not Allowed</h1></center>
<hr><center>nginx/1.1.19</center>
</body>
</html>

Возможные уязвимости этой версии здесь:
http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-148754/year-2013/opginf-1/Igor-Sysoev-Nginx-1.1.19.html
http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-148754/year-2013/opbyp-1/Igor-Sysoev-Nginx-1.1.19.html

arturk · 24.Сентябрь.2014 13:24:50

Не, это не баг automated-testing.info. Это баг nginx сервера. Минорный. По ходу в версиях после 1.1.19 перестали апдейтить строку респонса на трейс запрос. Уязвимостей описаных выше нету, разве что какие-то неизвестные мне 0day.

vmaximv · 24.Март.2017 06:04:00

Либо уберите баннер, либо верните close icon.

polusok · 24.Март.2017 08:07:38

принято

xotabu4 · 21.Апрель.2017 12:20:14

Ачивка
http://automated-testing.info/badges/33/out-of-love

Не выдается после 50 лайков

xotabu4 · 21.Апрель.2017 12:24:58

Ачивку
http://automated-testing.info/badges/43/first-reply-by-email

Невозможно получить - кнопка не существует

polusok · 21.Апрель.2017 16:28:36

столько лайков еще никто не получал сообщество не любит лайкать [quote=“xotabu4, post:11, topic:1505, full:true”]
http://automated-testing.info/badges/43/first-reply-by-email

Невозможно получить - кнопка не существует
[/quote]

а вот это не реализовано, а нужно кому-то отвечать по емейлу напрямую в тему? всегда думал что удобнее на сайте отвечать

xotabu4 · 24.Апрель.2017 13:41:04

Да я просто хотел все ачивки собрать )

polusok · 26.Апрель.2017 07:23:39

ну я не знал, что ты там хотел сделать

vmaximv · 02.Август.2017 11:35:14

Верните постеров на десктоп:

polusok · 02.Август.2017 12:30:37

@vmaximv а они нужны? какие будут аргументы ?

vmaximv · 02.Август.2017 13:06:52

Ну как бы общепринято для форумов отображать, чей был последний пост в топике и когда.

polusok · 02.Август.2017 13:49:11

а кроме того что это “общепринято”, есть еще какие-то аргументы? потому что с моей точки зрения это не несет никакой полезной функциональности, а я больше смотрю в сторону упрощения интерфейса, а не усложнения

vmaximv · 02.Август.2017 14:04:09

UX - лично у меня четкое чувство, что не хватает информации на главной странице, причем на mobile его нет - там вы не “выпилили” иконки.
Usability тоже от этого не “прокачалось”: например просмотр профиля ТС. В текущем варианте мне надо зайти в топик (+1 action). Наскролить на первый пост (+1 action). Кликнуть на иконку ТС (+1 action). Три экшена против одного. И т.д.

polusok · 02.Август.2017 18:03:08

Ок проводим голосование, нужно ли показывать на главной странице людей которые участвуют в обсуждении ?!

Да
Нет
Не знаю

0 участников