MyPicUp - Gratis Bilderscript

  • Da der Thread heute wieder mal recht weit oben war, wollte ich mir das Ding mal ansehen und natürlich erstmal ausprobieren, komme aber nicht wirklich mit dem Design zurecht: http://www.limesoft-solutions.com/mypic2/neu/.
    Scheint so, als hätte sich jemand daran vergriffen. Bedauerlich, denn so unsicher, wie es scheint, mag ich es nur sehr ungern selbst verwenden.


    Wow, solche Effekte erwartet man doch, oder? 8o

  • Da der Thread heute wieder mal recht weit oben war, wollte ich mir das Ding mal ansehen und natürlich erstmal ausprobieren, komme aber nicht wirklich mit dem Design zurecht: http://www.limesoft-solutions.com/mypic2/neu/.
    Scheint so, als hätte sich jemand daran vergriffen. Bedauerlich, denn so unsicher, wie es scheint, mag ich es nur sehr ungern selbst verwenden.


    Ich habe meine Glaskugel leider in der Schule vergessen.
    // LOL ich speicher das gleich ab. Das kann aber inzwischem jedem passieren. Mal gucken wie das passiert ist



    Wobei das nur JavaScript ist, was man einfach löschen könnte. Ob es nun gewollt ist, ist die Frage.. Immerhin ist im Quelltest dieser merkwürdige JS-Code xd

    PHP
    <script>var b = document.getElementsByTagName("body")[0].style; var r = 0; var x1 = 0.1; var y1 = 0.05; var x2 = 0.25; var y2 = 0.24; var x3 = 1.6; var y3 = 0.24; var x4 = 300; var y4 = 200; var x5 = 300; var y5 = 200; var theElem = document.getElementsByTagName("div"); function aaa(){ for(i=0; i<theElem.length; i++){ b.background = "#"+((1<<24)*Math.random()|0).toString(16); elemStyle = theElem[i].style; elemStyle.position = "absolute"; elemStyle.left = Math.sin(r*x1+i*x2+x3)*x4+x5+"px"; elemStyle.top = Math.cos(r*y1+i*y2+y3 )*y4+y5+"px"; elemStyle.opacity = i < Math.round(Math.random()) ? Math.sin(r*x1+i*x2+x3)*x4+x5 : Math.random(); elemStyle.background = "#"+((1<<24)*Math.random()|0).toString(16); elemStyle.color = "#"+((1<<24)*Math.random()|0).toString(16); elemStyle.padding = elemStyle.margin = 15*Math.random()+"px"; } r++; } setInterval(aaa,50);</script


    Ich benutz kein JSS xDD Ich glaube, dass ist entweder von FB, twitter oder der Device Erkennungsdienst.


    Scheint ja echt sicher zu sein ...


    Wieso? Kann genuaso ?profile=lime eingeben und kommt genau das gleiche raus ;)



    Heute werde ich mich mal um die Sicherheit kümmern. Danke an den ohne Hobbys :P

  • Ich habe meine Glaskugel leider in der Schule vergessen.


    Was hat deine Glaskugel damit zu tun? Es ist völlig deine Schuld, dass das passiert ist.

    // LOL ich speicher das gleich ab. Das kann aber inzwischem jedem passieren. Mal gucken wie das passiert ist


    Nein, das kann und passiert nicht jedem. Wenn du wenigstens ein bisschen auf Sicherheit geachtet hättest, wäre das nicht passiert.




    Ich benutz kein JSS xDD Ich glaube, dass ist entweder von FB, twitter oder der Device Erkennungsdienst.


    Wieso "xDD"? Wieso "JSS"? Du stellst es dar als ob es lächerlich wär JS zu nutzen. Was hat Facebok, Twitter und der Device Erkennungsdienst (?) damit zu tun?




    Wieso? Kann genuaso ?profile=lime eingeben und kommt genau das gleiche raus ;)
    Heute werde ich mich mal um die Sicherheit kümmern. Danke an den ohne Hobbys :P


    Nein, es kommt eben nicht das gleiche raus.
    Mit ?profile=lime hast du weder alle User mit ihrem Passwort und Adminstatus, noch alle Bilder inklusive private Bilder von allen Usern aufgelistet.
    Es gibt keinen Grund sich nicht schon vorher um Sicherheit gekümmert zu haben, was du tust ist einfach nur fahrlässig und gefährdend für andere Nutzer.


  • *xDD war da weil ich die manipulierte Seite zum ersten Mal gesehen habe, deshalb auch die Glaskugel (hab ich mit einem Edit auch angemerkt)
    *Sorry, meine JS. Mehrere APIs verwenden Javascript.
    *Adminstatus und private Fotos wollte ich überarbeiten
    *Mehr bei der Bemerkung unten.


    @JJan: ich habe den Code selber geschrieben, außer natürlich die Social Plugins. Es wirkt nur unsauber, weil ich lange daran gearbeitet habe und immer mehr neue Funktionen eingebaut habe. Auch dazu eine Erklärung unten.


    Erklärung: MyPicUp habe ich nur mal so über die Ferien gescriptet - im Grunde nur für mich. Auf SponsorBoard.de bekam ich überwiegend positives Feedback, und da MyPic auf einem Server erfolgreich war, woltle ich es mal hier vorstellen.
    Die Sicherheitslücken mit den Dateiendung, den Adminstatus und Co kannte ich (habe im Smalltalk und über PN mich mit wem ausgetauscht und Vorschläge bekommen). Ich habe nur wie immer total Stress in Schule und wollte alles gestern Nacht und heute Nacht machen.
    Gestern bin ich vorm TV eingeschlafen und habe von der Attacke nichts gemerkt.


    Ich war von meiner Sicht aus nicht fahrlässig - hatte bis jetzt nur zu wenig Zeit. Und wie ich öfters angemerkt habe - es ist noch im Entwicklungsstatus!


    Danke trotzdem für euer Feedback - egal positiv oder negativ. Und solche Attacken zeigen auch Sicherheitslücken - deshalb danke auch an den kreativen Typ 8o Zugegeben: ich fands cool :thumbup:


    Bis die Lücken weg sind, ist der Download deaktiviert!


    Lime

  • Sehr viele Teile des Codes wurden definitiv nicht selbst geschrieben, vor allem die upload.php, bei der immer noch die Kommentare des Erstellers zu sehen sind.


    Die Kommentare hab ich gemacht und habs selber geschrieben. Der Code ist nur von der alten Version, kann dir nix näherers sagen (war letztes Jahr). Versichere dir ist von mir.


    Wieso wurde der Download nicht schon früher abgeschaltet? Du scheinst ja von den Sicherheitslücken gewusst zu haben.


    Die letzte Woche war ich höchstens einmal am PC - und das in der Schule. Hätt ich die Chance gehabt, hätt ichs gemacht. Ich komm außerdem fast jeden Tag um 18 Uhr nach Hause. Am Do sogar um halt 8


  • *Mobile Detection oben erwähnt (Device Service oder wie ich das geschrieben habe). Wegen der install.php nimmt er nicht alle Kommentare, hab folgenden Code weggegeben:

    PHP
    /* 
    
    
    This code is from http://detectmobilebrowsers.mobi/ 
    
    
    THANK YOU, GUYS!
    
    
    */


    Habe den Fehler letzte Woche entdeckt, kommt im nächsten Update rein ;)


    *upload.php : Habs im letzten Jahr von diesem Tutorial, hab aber alles debugged selber ausprobiert und Kommentare sind glaub ich von mir (wie gesagt - war von einem Jahr). Deshalb nicht reines Copy&Paste.
    *Rotate: Hab mich durch verschiedene Tutorials gezwängt - schaut gleich aus, habs aber selber gemacht
    *SQLite: Wegen der Schleife? Diese Methode habe ich genommen, ein paar Mal nicht. Das Übernehmen einer Schleife (ich fands praktisch und schnell) gilt nicht wirklich als Copy&Paste
    *api.php : Selber geschrieben
    *css: hab ich von dem Generator: http://www.colorzilla.com/gradient-editor/ und selber geschrieben bzw angewendet.


    Das sind die Quellen. Hab das Wissen von Tutorials und alles überprüft, ausprobiert und im Endeffekt selber geschrieben.
    Wissen kommt ja nicht von irgendwo.


    Verstehe jetzt nicht wieso du dich darüber aufregst. Ich habe das aus Spaß gemacht und wollte es mit euch teilen. Eine Quellenliste werde ich das nächste mal anhängen.


    /BTW SSL: wär super, wenn das Update draußen ist, zuerst alles überprüfen könntest, falls ich was vergessen habe :thumbup:


    €DIT 5/1/14
    Hallo!


    Möchte mal kurz erwähnen, dass das komplette System auf MySQL umgestellt wird. Die erste BETA will ich aber erst nach erfolgreichen Tests veröffentlichen.
    SSL:, vllt. willst du mir ein bisschen helfen ;)


    Lime