| Autor | Zpráva | ||
|---|---|---|---|
| ofcak Profil |
#1 · Zasláno: 15. 10. 2013, 18:08:06
Čau
příklad: http://www.novinky.cz/internet-a-pc/316252-lide-nahrali-na-web-spoz-hanbate-obrazky.html Je to celkem častý jev, minulé volby u nějaké strany a před maturitama na officiálnim webu statnich maturit. Tak se chci zeptat, jak? Jak je todle možný? :D 1. Zjistili heslo od ftp a natvrdo přepsali obsah webu? 2. Mají obsah webu generovaný z DB - dostali se jim do DB a přepsali obsah.. ? 3. ..todle už nemám představu jak bych udělal.. Nahráli na web nějaký script který při načtení stránky obsah přepíše? Zajímala by mě složitost tohodle "útoku". Za předpokladu že mám průměrný heslo od ftp a DB. A ošetřuju vstupní parametry do PHP (=> i do MySQL). |
||
| Micruss Profil |
#2 · Zasláno: 15. 10. 2013, 18:58:41
a výstupní data taky ošetřuješ ? :-)... může tam být cokoliv od sql injekce až po XSS chyby :)
|
||
| ofcak Profil |
#3 · Zasláno: 15. 10. 2013, 19:30:57
Micruss:
Výstupní data .. to nechápu co myslíš :) Jakože stázhnu texty z DB a všechny zkontroluju jestli v nich nejsou linky mimo muj web? Nebo úplně nevim jak (jaké) skontrolovat výstupní data :-O |
||
| Micruss Profil |
zkus toto:
vyhledej <script>alert('xss');</script>, nebo: ' or 1=1 atd <form method="get">
<input name="search" type="text">
<input type="submit" value="Vyhledat">
</form>
<?
if(isset($_get['search'])) {
# tady můžeš mít db_query apod a pokud chceš vidět i sql inj. tak
$sql = mysql_query("SELECT * FROM table WHERE neco = '".$_get['search']."'");
# atd atd
# xss attack
echo 'Váš hledaný výraz: '.$_get['search'];
}
?>mám zlomenou ruku tak toho moc s jednou nenapíšu ;-) |
||
|
Časová prodleva: 3 dny
|
|||
| ofcak Profil |
Díky za příklady :)
No nechce se mi věřit že by takovoudle základní věc ty lidi neměli ohlídanou ? |
||
| peta Profil |
#6 · Zasláno: 18. 10. 2013, 12:40:17
Kdyz das napsat program studentovi nebo amaterovi, tak to tak dopada. Ucitele neumi nebo jsou lini nebo nechteji studentum pridelavat potize, tak jim nevysvetli, jak si to ohlidat. Aspon mi vzdycky argumentuji tim, ze to studento potrebuje mit co nejjednodussi. Jenze, ono to v praxi jednoduse napsat nejde, takze se to bud udela poradne a nebo, at to neuci, raci.
|
||
| Joker Profil |
#7 · Zasláno: 18. 10. 2013, 14:34:18
ofcak:
„No nechce se mi věřit že by takovoudle základní věc ty lidi neměli ohlídanou ?“ I dobrý programátor občas nedomyslí věc, která vypadá triviálně poté, co se něco stane. Podobně třeba havárie vesmírné rakety mívá často za příčinu úplnou kravinu, které šlo snadno zabránit- kdyby si toho někdo všiml mezi milionem jiných kravin. Druhá věc je, že v IT se vyskytují lidi, kteří se prohlašují za experty, řeknou si o spoustu peněz a přitom nic moc neumějí. No a třetí věc, že sami zadavatelé se často snaží ušetřit, takže najdou někoho, kdo je levný, případně to udělá nějaký synovec co „rozumí počítačům“, protože „na tom přece není nic tak těžkého“. |
||
|
Časová prodleva: 11 let
|
|||
0