![]() |
Модераторы: skyboy, MoLeX, Aliance, ksnk |
![]() ![]() ![]() |
|
nepster |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 300 Регистрация: 26.4.2009 Репутация: нет Всего: нет |
Столкнулся с такими проблемами как дыры.
Интересует вопрос, вот допустим имеется php скрипты или cms, существует ли программа для проверки кода на баги, дыры инъекции и др.? |
|||
|
||||
bars80080 |
|
|||
![]() прапор творюет ![]() ![]() ![]() ![]() Награды: 1 Профиль Группа: Завсегдатай Сообщений: 12022 Регистрация: 5.12.2007 Где: Königsberg Репутация: 71 Всего: 315 |
писать без дыр - очень верное решение. кстати, не сложно
баги - это надо включить полное отображение ошибок и прогнать все заявленные действия пользователей |
|||
|
||||
nepster |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 300 Регистрация: 26.4.2009 Репутация: нет Всего: нет |
Был у меня случай я написал сайт, все было проверенно со стороны пользователей, сайт стоял около 3 месяцев все идеально. Потом засветился на каком то хаккерском форму и я получил такой подарок:
http://sitename.ru/news/813'+and+0+UNION+SELECT+1,2,3,4,'Gromoza%20',CONCAT(Version(),0x2F2A2A2F,Database(),0x2F2A2A2F,User()),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--%20'/page/1/ Синтаксис примерно такой: http://sitename.ru/news.php?id=813&page=1 Хорошо, что парень попался отличный, написал мне про уязвимость и она была исправлена. Вот интересует как можно проверить сайт на подобные атаки, а так же xss пассивную и активную, про них вообще ничего не зна, так же где то пробегом встречал на форумах. |
|||
|
||||
ksnk |
|
|||
![]() прохожий ![]() ![]() ![]() ![]() Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
Нужно прочитать, наконец, про mysql_real_escape и проверить все запросы.
Достаточно внимательно проверить все пришедшие от пользователя переменные и заэксейпить этой функцией все используемые в запросах данные. тогда эта дырища в сайте окажется в меру надежно заштопана... -------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! ![]() |
|||
|
||||
nepster |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 300 Регистрация: 26.4.2009 Репутация: нет Всего: нет |
Вообще mysql_real_escape у меня стояла на проверке, она от этого не спасает, от этого спасло проверка preg_match и ограничение кол-во символов в переменной и проверка на числовое значение переменно.
Но все же идеально с 1 раза невозможно написать, ну по крайней мере за себя отвечу, что с 1 раза не смогу написать идеальный супер код с защитой на все 100. Вот и возникли проблемы защиты от взлома... А так как в этих всех атаках не разбираюсь, стало интересно узнать про софт. |
|||
|
||||
skyboy |
|
|||
неОпытный ![]() ![]() ![]() ![]() Профиль Группа: Модератор Сообщений: 9820 Регистрация: 18.5.2006 Где: Днепропетровск Репутация: 75 Всего: 260 |
||||
|
||||
nepster |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 300 Регистрация: 26.4.2009 Репутация: нет Всего: нет |
я имею ввиду к примеру:
а касательно программ для поиска уязвимостей в скриптах, они существуют вообще ? |
|||
|
||||
ksnk |
|
|||
![]() прохожий ![]() ![]() ![]() ![]() Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
Сегодня попалось на глаза w3af. Может оно?
-------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! ![]() |
|||
|
||||
nepster |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 300 Регистрация: 26.4.2009 Репутация: нет Всего: нет |
спасибо, буду разбираться
|
|||
|
||||
![]() ![]() ![]() |
Правила форума "PHP" | |
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |