RelaxДом

Быстрый поиск

Расширенный поиск

Авторизация

Запомнить? | Забыл пароль?
 
Register
Welcome
 
Web-программирование Perl, PHP, JavaScript, HTML и другие языки под веб.

Ответ
Непрочитано 23.11.2009, 14:47   #11
Doctor Мужской

Аватар для Doctor
 
Завсегдатай
Регистрация: 06.12.2007
Сообщений: 359
pm
По умолчанию Re: PHP защита

Avira AntiVir Premium 9.0.0.70.
Пассы менял. Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов, этой проблемы вроде бы нет, но по анологий можно предположить что есть уязвимость переменых. Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа Или я не прав?
Еще раз спасибо.
__________________
Убей в себе американца и станет легче на душе…
Doctor вне форума   Ответить с цитированием
Непрочитано 23.11.2009, 15:47   #12
Sony Мужской

Аватар для Sony
 
Осваиваюсь
Регистрация: 26.07.2007
Адрес: MS_Web
Сообщений: 154
pm
По умолчанию Re: PHP защита

Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Avira AntiVir Premium 9.0.0.70.
Это далеко не гуд. Подумай об установке KIS/KAV9 или DrWeb SS. Накати пакет обновления сп3 + хотфиксы к нему, ибо есть черви и трояны, которые проникнут через уязвимости ОС, и никакой антитроян с атнивирусом не спасёт. И проскань тачку [Ссылка заблокирована: Зарегистрируйтесь!]
.
Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Впринципе я думаю что если бы перехватывали пассы, то изменить атрибуты файлов и заново прописать скрипт не состовлялобы труда.
Если перехватываются пассы, то это делает эксплойт, троян или другое вредоносное ПО. Вредоносный скрипт может перехватывать данные и, к примеру, при обнаружении активного подключения к интернету, получать доступ к фтп и вносить изменения в определённые скрипты. Все они работают по определённому алгоритму, и если в их функционал не входит возможность изменения атрибутов файла и тд, то и внести изменения в файл они не смогут.
Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Когда искал решение этой проблемы наткнулся на проблему уязвимости инклудов
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
Тоесть например у меня передается переменая online и из бд вытаскивается содержимое этой страницы, а по идее изначально должна следовать проверка допустима ли эта переменая. Если этой проверки нет то вопщем шляпа Или я не прав?
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
__________________
Моя страничка [Ссылка заблокирована: Зарегистрируйтесь!]
Sony вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Sony за это полезное сообщение:
Непрочитано 23.11.2009, 17:31   #13
Doctor Мужской

Аватар для Doctor
 
Завсегдатай
Регистрация: 06.12.2007
Сообщений: 359
pm
По умолчанию Re: PHP защита

просканил AVZ чисто.
Цитата:
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
ну да, и еще что то связаное с использованием инклудов в функции if else.
Цитата:
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
во. это я имел ввиду. собственно я уже понял возможную уязвимость своего скрипта на следующих сайтах исправлю. И потом буду смотреть появится ли левый код или нет.
Благодарю за помощь.
__________________
Убей в себе американца и станет легче на душе…

Последний раз редактировалось Doctor; 23.11.2009 в 17:33.
Doctor вне форума   Ответить с цитированием
Непрочитано 24.11.2009, 10:00   #14
El`har Мужской

 
Где я ?
Регистрация: 03.09.2009
Сообщений: 12
pm
По умолчанию Re: PHP защита

А пример кода который интегрируется можно увидеть?
El`har вне форума   Ответить с цитированием
Непрочитано 24.11.2009, 12:47   #15
Sony Мужской

Аватар для Sony
 
Осваиваюсь
Регистрация: 26.07.2007
Адрес: MS_Web
Сообщений: 154
pm
По умолчанию Re: PHP защита

Цитата:
Сообщение от Doctor [Ссылка заблокирована: Зарегистрируйтесь!]
ну да, и еще что то связаное с использованием инклудов в функции if else.
Ты не так понял. Я имел ввиду, никаких уязвимостей в инклюдах не может быть в принципе, если приняты самые элементарные меры безопасности.
Цитата:
Сообщение от El`har [Ссылка заблокирована: Зарегистрируйтесь!]
А пример кода который интегрируется можно увидеть?
На предыдущей странице есть аттач. Но по куску этого когда невозможно определить насколько он вредоносный. Там нет ни вызываемых функций, ни функций обработчика.
__________________
Моя страничка [Ссылка заблокирована: Зарегистрируйтесь!]
Sony вне форума   Ответить с цитированием
Непрочитано 24.11.2009, 19:17   #16
Doctor Мужской

Аватар для Doctor
 
Завсегдатай
Регистрация: 06.12.2007
Сообщений: 359
pm
По умолчанию Re: PHP защита

Цитата:
Ты не так понял. Я имел ввиду, никаких уязвимостей в инклюдах не может быть в принципе, если приняты самые элементарные меры безопасности.
но ведь эти меры еще надо принять, а новичкам (к коим я себя отношу) они могут быть неизвестны ), но не буду спорить.
вот одна из статей по уязвимости [Ссылка заблокирована: Зарегистрируйтесь!]
__________________
Убей в себе американца и станет легче на душе…
Doctor вне форума   Ответить с цитированием
 
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход