Вернуться   Дизайнерский форум » ВЕБ-ПРОГРАММИРОВАНИЕ » Безопасность

"Нас сломали? Нас сломали!" или безопасность сайтов

Обсуждение темы "Нас сломали? Нас сломали!" или безопасность сайтов в разделе Безопасность, часть категории ВЕБ-ПРОГРАММИРОВАНИЕ; Следующий пост навел на размышления... Цитата: ivan341: Nark , я уже нашел уязвимость в трех местах. Причем 2 в конференциях. Еще возможна в ...


Закрытая тема
 
Опции темы
Старый 21.02.2007, 11:30   #1
Следующий пост навел на размышления...
Цитата:
ivan341:
Nark, я уже нашел уязвимость в трех местах. Причем 2 в конференциях.

Еще возможна в заказе. Но я не стал копать глубже.
Есть еще программка для скана сайта. Которая ищет предпологаймые или возможные уязвимости в ПхП скриптах.

С помощью ее нашел 19 ошибок. И одна из них в проверки полей на символы " / //\ ' и т.д.
...
В следствии чего пришлось уйти в себя на два дня и разобраться в конце концов, как обстоят дела на фронте безопасности скриптов...

Из чего вынес:
Основные уязвимые места:
1. includы, evalы и тому подобные функции позволяющие интерпретировать не статические данные. (включая разновидности preg_replace с разными модификаторами).
2. МySQL запросы.
3. Сторонний софт.
4. Не надежный провайдер.
5. Другие уязвимости.

По первому пункту:
Чего делать не надо: инклюдить файлы передаваемые в качестве параметров; выполнять код передаваемый в качестве параметра.
Все это черевато полной потерей сайта или забросом левого скриптика, дающего полный контроль над сайтом злоумышленнику.

По второму:
Экранировать. Экранировать. И еще раз экранировать. Все что поучаем или берем, все не статические элементы эранировать.
Чем черевато и как используется. Если есть возможность вклиниться в MySQL запрос можно:
1. Если можно переписать целиком запрос, то можно потерять все таблицы и потерять данные. Если установленны сторонние скрипты, свои админские формы и прочее можно лишиться сайта + см. п.1.
2. Если можно дописать (обычно в месте критериев отбора (WHERE)) запрос, и результат запроса выводится в каком-либо виде - возможность слить все данные. Если установленны сторонние скрипты/админские см п.1. (Делается это все через UNION. Изменение даных в этом случае не проходит.)

По третьему:
Зачастую сторонние скрипты сложные, а иногда и вобще закрытые, что приводит к тому, что они вставляются как есть и тут все зависит от разработчика, потенциальной уязвимости и функциональной нагрузке скрипта. Одно можно сказать точно, что поставив такие скрпты нужно очень хорошо следить за обновлениями, патчами и заплатками . Обычно в достаточно сложных скриптах раз в пол-года вылазят какие-нибудь критические баги.

По четвертому:
Выберайте хороший хостинг. .

По пятому:
Сюда отнес кучу других уязвимостей, которые меня не особо касаются. Сакжу только, что многие из них появляются в местах где сторонний пользователь может постить информацию на ваш сайт. Защита сводится все к тому же: экранировать и еще раз экранировать.

Отвечая на пост ivan341:
Спасибо за информацию. Посмотрел на уязвимости которые вы нашли. все они не критические и максимум, что возможно с ними было сделать - это получить информацию с базы данных (которую и так можно получить на сайте) и то это очень мало вероятно. А заказ он вобще практически ничего не делает. Максимум - вы бы заспамили бы мне ящик.

Интерессно также какой программой вы пользовались при поиске уязвимостей.
ЗЫ (Небольшой камень в ваш огород) Я бы не стал использовать CMS у которых раз в два меяца выходят критические апдейты. И закрыл директорию /engine/ от листинга.
 
Старый 21.02.2007, 11:30
Ссылки
Старый 21.02.2007, 13:40   #2
Nark, SQL including (иньекция) очень опасна. Легко можно завладеть сайтом. Поковыряться только надо.

В заказе вы думаете можно только к вам на ящик письмо послать .. =)

Я проще скажу - посмотри форум vingrad и почитай там про безопастность и частые ошибки.

if (isset($bla) && $bla != '2') { ...... ну и т.д. Это не спасет от проникновения.

Почитай посты по безопастности MalHack
 
Старый 21.02.2007, 13:52   #3
Цитата:
ivan341:
Nark, SQL including (иньекция) очень опасна. Легко можно завладеть сайтом. Поковыряться только надо.
Инклюдингом если он не целиковый запрос меняет добьетесь максимум содержания всех таблиц. А если в таблицах нету информации по админским паролям/логинам - хрен чего сделаете.

"В заказе вы думаете можно только к вам на ящик письмо послать .. =)"

Абсолютно. Он больше ничего не делает. Это просто меил форма на статично заданный адрес.
 
Старый 27.02.2007, 20:59   #4
ivan341, вообще-то Injection
прочитав упомянутый выше топик, скажу, что у Нарка Бдящий хостер , если простые потуги типа ...&id=10' OR id = '20 он пропускает,

то на такие вещи:

...&id=10' UNION SELECT `login` as `bla` , `password` as `alb` FROM..

Реагирует довольно жестко, недопуская до клиента
 
Старый 28.02.2007, 11:22   #5
Цитата:
Alkeeper:
то на такие вещи:

...&id=10' UNION SELECT `login` as `bla` , `password` as `alb` FROM..

Реагирует довольно жестко, недопуская до клиента
Да. когда-то это бесило... Но ничего привык .
Хотел использовать в закрытой админсткой формочке...
 
Старый 28.02.2007, 11:22
Закрытая тема




Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Обновление раздела "шаблоны сайтов" Silver Кальянная 2 09.09.2008 11:00
Обменяюсь тематическими ссылками "Создание сайтов" Silver Биржа ссылок 0 28.02.2008 16:10
"Оцените, господа!" или "Когда клиент через год переоценивает взгляды" ()@ZI$ Зал дебютантов 15 30.11.2005 09:50
Продажа билетов лотерей "Золотой ключ", "Русское Лото", "ТВ Бинго-шоу" Florid Кальянная 1 22.08.2005 19:24
Очень бы хотелось услышать советы "бывалых" и "знающих" tim Зал дебютантов 10 10.05.2004 09:48


Текущее время: 21:57. Часовой пояс GMT +4.

Реклама на форуме Условия размещения рекламы
Биржа ссылок Заработай на сайте!
Дизайнерский форум