Avira AntiVir Premium 9.0.0.70.
Пассы менял. Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов, этой проблемы вроде бы нет, но по анологий можно предположить что есть уязвимость переменых. Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа Или я не прав?
Еще раз спасибо.
__________________
Убей в себе американца и станет легче на душе…
Это далеко не гуд. Подумай об установке KIS/KAV9 или DrWeb SS. Накати пакет обновления сп3 + хотфиксы к нему, ибо есть черви и трояны, которые проникнут через уязвимости ОС, и никакой антитроян с атнивирусом не спасёт. И проскань тачку [Ссылка заблокирована: Зарегистрируйтесь!] .
Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Если перехватываются пассы, то это делает эксплойт, троян или другое вредоносное ПО. Вредоносный скрипт может перехватывать данные и, к примеру, при обнаружении активного подключения к интернету, получать доступ к фтп и вносить изменения в определённые скрипты. Все они работают по определённому алгоритму, и если в их функционал не входит возможность изменения атрибутов файла и тд, то и внести изменения в файл они не смогут.
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа Или я не прав?
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
ну да, и еще что то связаное с использованием инклудов в функции if else.
Цитата:
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
во. это я имел ввиду. собственно я уже понял возможную уязвимость своего скрипта на следующих сайтах исправлю. И потом буду смотреть появится ли левый код или нет.
Благодарю за помощь.
__________________
Убей в себе американца и станет легче на душе…
Последний раз редактировалось Doctor; 23.11.2009 в 17:33.
А пример кода который интегрируется можно увидеть?
На предыдущей странице есть аттач. Но по куску этого когда невозможно определить насколько он вредоносный. Там нет ни вызываемых функций, ни функций обработчика.
Ты не так понял. Я имел ввиду, никаких уязвимостей в инклюдах не может быть в принципе, если приняты самые элементарные меры безопасности.
но ведь эти меры еще надо принять, а новичкам (к коим я себя отношу) они могут быть неизвестны ), но не буду спорить.
вот одна из статей по уязвимости [Ссылка заблокирована: Зарегистрируйтесь!]
__________________
Убей в себе американца и станет легче на душе…
Re: PHP защита
Или я не прав?
Линейный вид
