Diskuse JPW: bezpečnostn především...

	Autor	Zpráva
	aureliuss Profil *	#1 · Zasláno: 28. 11. 2006, 16:45:12 Odpovědět Citovat zdravím... mám dotaz ohledně bezpečnosti. Jde mi o způsob nabourání stránky a to tak abych tušil jak se to dělá, tj. věděl jak se bránit. Jako příklad jsem si vzal jeden z prvních pokusů o web co jsem dělal. Teď vím že tam je spousta bezpečnostních chyb, ale spíš že to tak nějak tuším. Když se pokusím se do tohoto webu dostat, a to znám zdroják, tak nic neudělám... např jsem includoval soubory podle parametru soubor v url: index.php?soubor=uvod a načetlo se soubory/uvod.php tady je zřejmě díra, soubor jsem nijak neošetřoval, tedy můžu dosadit co chci. Ok, ale kam to povede? jediné cop mě napadlo bylo že se dá použít třeba index.php?soubor=http://www..... a nahrát jiný soubor, ale když to includuju ze složky soubor? resp, jde tedy o chybu, nebo to že to kiksne na hlášce Failed opening 'soubory/http://www...' je neprůstřelé kvůli tomu soubory? chtěl bych tedy porozumět i způspobu takového primitivního útoku, rád bych věděl jak to vše funguje. díky :)
	k Profil *	#2 · Zasláno: 28. 11. 2006, 16:52:33 Odpovědět Citovat Dej sem adresu tveho webu:)
	Bubák Profil	#3 · Zasláno: 28. 11. 2006, 16:57:32 Odpovědět Citovat www.google.com/search?hl=cs&as_qdr=all&q=sql+injection&btn
	Timy Profil	#4 · Zasláno: 28. 11. 2006, 17:04:09 Odpovědět Citovat aureliuss http://diskuse.jakpsatweb.cz/index.php?action=vthread&topic=37923&foru m=9&page=-1 hledej můj příspěvek a pak sleduj reakce :-)
	aureliuss Profil *	#5 · Zasláno: 28. 11. 2006, 17:24:27 Odpovědět Citovat tohle na webu nikde už nemám, vzal jsem si to jako příklad. Jelikož jsem to dřív vytvořil, vím že to skutečně existuje :) viz link: Pokud budu mít stránku na stejném hostingu, tak ti pošlu něco jako "../../../mujweb/www/mujzakernyskript" a už to jede... Pravda, většinou to nevyjde, protože je nastaveno open_base_dir (prostě jeden uživatel nemůže pouštět skripty druhého) Ale i tak můžu pustit nějaký tvůj soubor, který k tomu nebyl určen. Pokud máš například konfiguraci v textovém souboru, tak si ji nakrásně vypíšu. A i pokud ne, tak nikdy nevíš, co se může stát, pokud zavolám rovnou nějaký skript, který k tomu nebyl určen. Přinejmenším se mi může podařit vyvolat různé chybové hlášky, které mi pomohou hledat další mezery. jasně, to že budu na stejném hostingu se asi nestane, resp. o tom to zrovna neni... A vypsání dalších hlášek? jasně, ale to jsme pořád na stejném místě. dostanu díky tomu třeba hlášku Warning: mysql_query() [function.mysql-query]: Access denied for user 'www-data'@'localhost' (using password: NO) in ... po otevření čistě soubory/uvod.php tadz vidím zase další díru, ale co s ní někdo udělá?
		Časová prodleva: 17 let

Toto téma je uzamčeno. Odpověď nelze zaslat.