Тема: PHP защита
Показать сообщение отдельно
Непрочитано 23.11.2009, 15:47   #12
Sony Мужской

Аватар для Sony
 
Осваиваюсь
Регистрация: 26.07.2007
Адрес: MS_Web
Сообщений: 154
pm
По умолчанию Re: PHP защита

Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Avira AntiVir Premium 9.0.0.70.
Это далеко не гуд. Подумай об установке KIS/KAV9 или DrWeb SS. Накати пакет обновления сп3 + хотфиксы к нему, ибо есть черви и трояны, которые проникнут через уязвимости ОС, и никакой антитроян с атнивирусом не спасёт. И проскань тачку [Ссылка заблокирована: Зарегистрируйтесь!]
.
Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Если перехватываются пассы, то это делает эксплойт, троян или другое вредоносное ПО. Вредоносный скрипт может перехватывать данные и, к примеру, при обнаружении активного подключения к интернету, получать доступ к фтп и вносить изменения в определённые скрипты. Все они работают по определённому алгоритму, и если в их функционал не входит возможность изменения атрибутов файла и тд, то и внести изменения в файл они не смогут.
Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа Или я не прав?
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
__________________
Моя страничка [Ссылка заблокирована: Зарегистрируйтесь!]
Sony вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Sony за это полезное сообщение: