Ошибки на портале automated-testing.info

vadim · 2011-01-30 19:57:39 UTC

Предлагаю выкладывать сюда битые ссылки, баги и прочие милые сердцу тестировщика радости найденные на сайте

Вот и первый: перейдя по ссылке http://automated-testing.info/authors (с банера "Портал ищет авторов") я не увидел никакой информации про условия, на которых можно стать автором портала. Browser: Mozilla Firefox.

polusok · 2011-01-31 21:21:44 UTC

Спасибо, да, линка была битой. Сейчас страница находиться по адресу http://automated-testing.info/content/stat-avtorom

arturk · 2012-03-23 17:16:41 UTC

Кто-то криво правил футер в генерации страниц:

Все замечания и пожелания присылайте на webmaster@automated-testing.info<a href="http://automated-testing.info/sitemap.html">.</a><br>

Точка осталась ссылкой. Не думаю, что это так задумано. Мелочь, но я троль =)

polusok · 2012-03-23 17:25:00 UTC

спасибо за замечание, сейчас поправим

arturk · 2014-09-16 08:53:01 UTC

Внизу страницы отображается ошибка Missing Key: topic.read_more_MF
Заодно хочу проверить и возможность инклузивной ошибки

К этому посту приаттачен файл картинка, который собственно после картинки содержит скрипт alert(getScriptPath());. Если найдется любая XSS уязвимость, то подобным образом можно будет запустить скрипт любой сложности как на сервере так и на стороне клиента. Просто нужно будет начать читать файл с нужного места. Более того, возможно наверное даже создать сам JPEG файл содержащий только javascript. Эта идея интересная, но над практической реализацией я пока не думал ))
Картинка здесь
automated-testing.info/uploads/default/451/648ea23561b9fd5e.jpg

Возможное решение - обрабатывать загружаемые картинки переконвертируя их.
Второе поведение - это то что к картинке даже перед тем как сообщение отправлено уже указывается путь, тоесть, можно залить файл не оставляя сообщение. Потенциально такая комбинация чревата DOS атакой, когда я буду отправлять JPEG картинки на 2 гигабайта до тех пор, пока не забью всё место на сайте и на форуме никто этого не заметит, сообщений не будет видно. И это не займет много времени, часа 2 максимум при моей ширине канала. Если же проводится проверка на размер картинки (не проверял, это уже не столь важно), то тоже не проблема, просто сделать робот который будет засылать мелкие картинки. По времени будет процентов на 20-30 дольше.

arturk · 2014-09-22 13:36:36 UTC

TRACE запросы запрещены на портале - что правильно, но сервер возвращает свою версию, которая мягко говоря - довольно устарела и с 2012 года уже содержит пару эксплойтов в базе данных

arturko@ARTURKO-NOTE /cygdrive/e/work/tools
$ curl -X TRACE automated-testing.info
<html>
<head><title>405 Not Allowed</title></head>
<body bgcolor="white">
<center><h1>405 Not Allowed</h1></center>
<hr><center>nginx/1.1.19</center>
</body>
</html>

Возможные уязвимости этой версии здесь:
http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-148754/year-2013/opginf-1/Igor-Sysoev-Nginx-1.1.19.html
http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-148754/year-2013/opbyp-1/Igor-Sysoev-Nginx-1.1.19.html

arturk · 2014-09-24 13:24:50 UTC

Не, это не баг automated-testing.info. Это баг nginx сервера. Минорный. По ходу в версиях после 1.1.19 перестали апдейтить строку респонса на трейс запрос. Уязвимостей описаных выше нету, разве что какие-то неизвестные мне 0day.

vmaximv · 2017-03-24 06:04:00 UTC

Либо уберите баннер, либо верните close icon.

polusok · 2017-03-24 08:07:38 UTC

принято

xotabu4 · 2017-04-21 12:20:14 UTC

Ачивка
http://automated-testing.info/badges/33/out-of-love

Не выдается после 50 лайков

xotabu4 · 2017-04-21 12:24:58 UTC

Ачивку
http://automated-testing.info/badges/43/first-reply-by-email

Невозможно получить - кнопка не существует

polusok · 2017-04-21 16:28:36 UTC

столько лайков еще никто не получал сообщество не любит лайкать [quote=“xotabu4, post:11, topic:1505, full:true”]
http://automated-testing.info/badges/43/first-reply-by-email

Невозможно получить - кнопка не существует
[/quote]

а вот это не реализовано, а нужно кому-то отвечать по емейлу напрямую в тему? всегда думал что удобнее на сайте отвечать

xotabu4 · 2017-04-24 13:41:04 UTC

Да я просто хотел все ачивки собрать )

polusok · 2017-04-26 07:23:39 UTC

ну я не знал, что ты там хотел сделать

vmaximv · 2017-08-02 11:35:14 UTC

Верните постеров на десктоп:

polusok · 2017-08-02 12:30:37 UTC

@vmaximv а они нужны? какие будут аргументы ?

vmaximv · 2017-08-02 13:06:52 UTC

Ну как бы общепринято для форумов отображать, чей был последний пост в топике и когда.

polusok · 2017-08-02 13:49:11 UTC

а кроме того что это “общепринято”, есть еще какие-то аргументы? потому что с моей точки зрения это не несет никакой полезной функциональности, а я больше смотрю в сторону упрощения интерфейса, а не усложнения

vmaximv · 2017-08-02 14:04:09 UTC

UX - лично у меня четкое чувство, что не хватает информации на главной странице, причем на mobile его нет - там вы не “выпилили” иконки.
Usability тоже от этого не “прокачалось”: например просмотр профиля ТС. В текущем варианте мне надо зайти в топик (+1 action). Наскролить на первый пост (+1 action). Кликнуть на иконку ТС (+1 action). Три экшена против одного. И т.д.

polusok · 2017-08-02 18:03:08 UTC

Ок проводим голосование, нужно ли показывать на главной странице людей которые участвуют в обсуждении ?!

Да
Нет
Не знаю

0 участников