RelaxДом
Страница 2 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

RelaxДом (https://forum.relaxdom.net/index.php)
-   Web-программирование (https://forum.relaxdom.net/forumdisplay.php?f=159)
-   -   PHP защита (https://forum.relaxdom.net/showthread.php?t=55429)

Doctor 23.11.2009 14:47
Re: PHP защита
 
Avira AntiVir Premium 9.0.0.70.
Пассы менял. Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов, этой проблемы вроде бы нет, но по анологий можно предположить что есть уязвимость переменых. Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа =) Или я не прав?
Еще раз спасибо.

Sony 23.11.2009 15:47
Re: PHP защита
 
Цитата:
Сообщение от Doctor (Сообщение 462526)
Avira AntiVir Premium 9.0.0.70.
Это далеко не гуд. Подумай об установке KIS/KAV9 или DrWeb SS. Накати пакет обновления сп3 + хотфиксы к нему, ибо есть черви и трояны, которые проникнут через уязвимости ОС, и никакой антитроян с атнивирусом не спасёт. И проскань тачку [Ссылка заблокирована: Зарегистрируйтесь!]
.
Цитата:
Сообщение от Doctor (Сообщение 462526)
Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Если перехватываются пассы, то это делает эксплойт, троян или другое вредоносное ПО. Вредоносный скрипт может перехватывать данные и, к примеру, при обнаружении активного подключения к интернету, получать доступ к фтп и вносить изменения в определённые скрипты. Все они работают по определённому алгоритму, и если в их функционал не входит возможность изменения атрибутов файла и тд, то и внести изменения в файл они не смогут.
Цитата:
Сообщение от Doctor (Сообщение 462526)
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
Цитата:
Сообщение от Doctor (Сообщение 462526)
Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа =) Или я не прав?
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.

Doctor 23.11.2009 17:31
Re: PHP защита
 
просканил AVZ чисто.
Цитата:
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
ну да, и еще что то связаное с использованием инклудов в функции if else.
Цитата:
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
во. это я имел ввиду. собственно я уже понял возможную уязвимость своего скрипта на следующих сайтах исправлю. И потом буду смотреть появится ли левый код или нет.
Благодарю за помощь.

El`har 24.11.2009 10:00
Re: PHP защита
 
А пример кода который интегрируется можно увидеть?

Sony 24.11.2009 12:47
Re: PHP защита
 
Цитата:
Сообщение от Doctor (Сообщение 462536)
ну да, и еще что то связаное с использованием инклудов в функции if else.
Ты не так понял. Я имел ввиду, никаких уязвимостей в инклюдах не может быть в принципе, если приняты самые элементарные меры безопасности.
Цитата:
Сообщение от El`har (Сообщение 462622)
А пример кода который интегрируется можно увидеть?
На предыдущей странице есть аттач. Но по куску этого когда невозможно определить насколько он вредоносный. Там нет ни вызываемых функций, ни функций обработчика.

Doctor 24.11.2009 19:17
Re: PHP защита
 
Цитата:
Ты не так понял. Я имел ввиду, никаких уязвимостей в инклюдах не может быть в принципе, если приняты самые элементарные меры безопасности.
но ведь эти меры еще надо принять, а новичкам (к коим я себя отношу) они могут быть неизвестны ), но не буду спорить.
вот одна из статей по уязвимости [Ссылка заблокирована: Зарегистрируйтесь!]


Часовой пояс GMT +4, время: 01:38.
Страница 2 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot