русский
Germany.ruForen → Архив Досок→ Webdesign und Hosting

Простота и безопасность

700  1 2 3 4 5 alle
helper2008 свой человек21.12.12 19:52
helper2008
NEW 21.12.12 19:52 
in Antwort Vovan(ator) 21.12.12 19:39
В ответ на:
И я тоже про это.
Как я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.

И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.
вполяне - жизнь в лесу
#41 
helper2008 свой человек21.12.12 19:54
helper2008
NEW 21.12.12 19:54 
in Antwort voxel3d 21.12.12 19:41
В ответ на:
Ознакомиться с предметом и не передавать нефильтрованный ввод в запросы, там ничего сложного нет.

Интересно, какие знаки в запросе надо резать, чтоб наверняка не взломали?
вполяне - жизнь в лесу
#42 
miltorg старожил21.12.12 19:56
miltorg
NEW 21.12.12 19:56 
in Antwort Vovan(ator) 21.12.12 19:39
В ответ на:
ак я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.

Нет ничего серьёзней форматирования - но попробуйте запустить эту простую команду
Половина евро в час
#43 
miltorg старожил21.12.12 20:01
miltorg
NEW 21.12.12 20:01 
in Antwort helper2008 21.12.12 19:54
Далёкий 2003:
// запрет тегов переданных методом Get, а чё Post-том можно?
foreach ($_GET as $sec_key => $secvalue) {
if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*img*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*over*\"?[^>]*>", $secvalue)) ||
(eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
(eregi("\"", $secvalue)) ||
(eregi("forum_admin", $sec_key)) ||
(eregi("inside_mod", $sec_key))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
}
//--------------------------------------------------------------------------
// А вот и POST. А почему мало. Ведь кроме over есть ещё и
foreach ($_POST as $secvalue) {
if ((eregi("<[^>]*over*\"?[^>]*>", $secvalue)) || (eregi("<[^>]script*\"?[^>]*>", $secvalue)) || (eregi("<[^>]style*\"?[^>]*>", $secvalue))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
//Это я написал http://chajnik.ru
$u='((<a)|(\[url))';
//$u='<a';
if(
preg_match("/$u.*$u/is", $secvalue)
or preg_match("/viagra/i", $secvalue)
or preg_match("/good site/i", $secvalue)
or preg_match("/Nice site/i", $secvalue)
or preg_match("/great site/i", $secvalue)
or preg_match("/Cool site. Thank/i", $secvalue)
){header("Location: index.php"); die();}
//Конец моей писанины
}
Половина евро в час
#44 
compman знакомое лицо21.12.12 20:11
compman
21.12.12 20:11 
in Antwort voxel3d 21.12.12 19:07, Zuletzt geändert 21.12.12 20:12 (compman)
В ответ на:
Мы поспорили о том, что постньюк дырявый

voxel3d надо было ещё и "задний проход" оставить :-) это быстро отрезвляет от самоуверенности и заставляет немного поучиться. К стати даже на германке есть проблемки с уязвимостями.
#45 
web-programmist Программист21.12.12 20:19
web-programmist
NEW 21.12.12 20:19 
in Antwort miltorg 21.12.12 20:01, Zuletzt geändert 21.12.12 20:21 (web-programmist)
чтобы избежать ХСС атаки хватает одной функции htmlspecialchars
Я начинал с изучения взломов, потом перешел на программирование) Очень полезно, когда знаешь, что нужно закрыть )
Более 500 каналов !
#46 
Vovan(ator) старожил21.12.12 20:23
Vovan(ator)
NEW 21.12.12 20:23 
in Antwort helper2008 21.12.12 19:52
В ответ на:
И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.

Ну гостевые или блоги и содержат эти формы и в большинстве случаев всё появляется на сатйте без редактирования админом.
А автоматическую обработку содержания делают далеко не все.
#47 
web-programmist Программист21.12.12 20:26
web-programmist
NEW 21.12.12 20:26 
in Antwort miltorg 21.12.12 20:01
/home/milto136/domains/so-sputnika.ru
тебе это что-то напоминает ?
Более 500 каналов !
#48 
miltorg старожил21.12.12 20:32
miltorg
NEW 21.12.12 20:32 
in Antwort web-programmist 21.12.12 20:26
Нет
Половина евро в час
#49 
helper2008 свой человек21.12.12 20:33
helper2008
NEW 21.12.12 20:33 
in Antwort Vovan(ator) 21.12.12 20:23
Ну так сделай обработку и пиши сам свой движок. Накой тебе CMS?
вполяне - жизнь в лесу
#50 
web-programmist Программист21.12.12 20:33
web-programmist
NEW 21.12.12 20:33 
in Antwort miltorg 21.12.12 20:32
а зря, там лежит твой сайтик.
Более 500 каналов !
#51 
helper2008 свой человек21.12.12 20:34
helper2008
21.12.12 20:34 
in Antwort web-programmist 21.12.12 20:26
Похоже на путь файловой системы какого то сервака.
вполяне - жизнь в лесу
#52 
miltorg старожил21.12.12 20:36
miltorg
NEW 21.12.12 20:36 
in Antwort web-programmist 21.12.12 20:33, Zuletzt geändert 21.12.12 20:42 (miltorg)
Там он точно не лежит. Это просто путь - на сервере. И никакого проку от него нет.
А чтоб попасть на мои сайты нужно набрать ftp:// итд - именно там он лежит.
Половина евро в час
#53 
web-programmist Программист21.12.12 20:38
web-programmist
NEW 21.12.12 20:38 
in Antwort miltorg 21.12.12 20:36, Zuletzt geändert 21.12.12 20:39 (web-programmist)
/home/milto136/domains/so-sputnika.ru/public_html/
тут он родной

helper2008, так точно, это назваться раскрытие путей.. Когда у хакера есть путь, это облегчает задачу.
Более 500 каналов !
#54 
miltorg старожил21.12.12 20:43
miltorg
NEW 21.12.12 20:43 
in Antwort web-programmist 21.12.12 20:38, Zuletzt geändert 21.12.12 21:08 (miltorg)
Ну так раз всё так просто - напишите что ни будь интересное у меня на сайте. Только не в гостевой, разумеется :-)
В ответ на:
helper2008, так точно, это назваться раскрытие путей.. Когда у хакера есть путь, это облегчает задачу.

Бред. Пути у меня почти на всех серверах получаются одинаковые. Рассказывать почему так - не буду.
Путь есть. Дело за малым. Узнать Логин и пароль и лучше от интернет банка
Половина евро в час
#55 
web-programmist Программист21.12.12 20:50
web-programmist
NEW 21.12.12 20:50 
in Antwort miltorg 21.12.12 20:43
Бред - это вы говорите. Вы никогда не сможете понять как это работает.. и неХ* спрашивать, если не интересно послушать реальные вещи....
Более 500 каналов !
#56 
miltorg старожил21.12.12 20:53
miltorg
NEW 21.12.12 20:53 
in Antwort web-programmist 21.12.12 20:50, Zuletzt geändert 21.12.12 20:57 (miltorg)
В ответ на:
и неХ* спрашивать, если не интересно послушать реальные вещи....

Реальные вещи - да.
Бред - нет
Бред который грозит судом тому у которого это вдруг получится - бред вдвойне.
И я ничего не спрашивал
Половина евро в час
#57 
web-programmist Программист21.12.12 20:55
web-programmist
NEW 21.12.12 20:55 
in Antwort miltorg 21.12.12 20:53
какой с тебя программист ?
Более 500 каналов !
#58 
helper2008 свой человек21.12.12 20:57
helper2008
NEW 21.12.12 20:57 
in Antwort web-programmist 21.12.12 20:50
Поделись уж, как ты узнаёшь путь.
вполяне - жизнь в лесу
#59 
compman знакомое лицо21.12.12 21:02
compman
NEW 21.12.12 21:02 
in Antwort miltorg 21.12.12 20:53
В ответ на:
Бред который грозит судом тому у которого это вдруг получится - бред вдвойне.

И смех и грех
#60 
1 2 3 4 5 alle