| | |
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
Autor | Správa |
---|
Registrovaný: 21.09.13 Prihlásený: 15.04.24 Príspevky: 2110 Témy: 77 Bydlisko: Považská By... |
Ahoj, potreboval by som ochrániť pár vstupov (z $_GET udaje idu do db). No a potreboval by som názvy praktík ktore umožnia ziskať utočnikovi nejaku kontrolu nad webom/db. Sql inject aj xss by som mal nejake ďalšie napady nato ako by mi mohol uškodiť? Ďakujem
_________________ Nesnívaj svoj život, ale ži svoj sen. |
|
Registrovaný: 17.07.11 Prihlásený: 29.12.20 Príspevky: 1516 Témy: 3 | Napísal BX: 03.04.2014 22:26 | |
|
Zásadne sa cez get parametre nepristupuje k url takej, ktorá robí priamo zmenu v databázi. Napríklad dajme tomu, že máš niečo ako edit.php?action=delete_user&id=12 Ja ako útočník to môžem poslať adminovi ako zamaskovaný link a spoliehať na to, že admin je prihlásený (má aktívne session) Tým pádom vymaže užívateľa bez toho, aby s tým mohol niečo robiť, ups A toto je ten lepší prípad. Ak ti idú veci z GET parametra priamo do databáze, tak je to oveľa horšie. Nerob to. Vždy choď cez post. No a čo všetko treba ošetriť, no všetko čo sa dá. Asi neexistuje nejaký zoznam, či návod.
_________________ Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
Registrovaný: 21.09.13 Prihlásený: 15.04.24 Príspevky: 2110 Témy: 77 Bydlisko: Považská By... | Napísal autor témy Kraliček: 03.04.2014 22:55 | |
|
Aj post sa dá upraviť. Ale inak to urobiť nemôžem lebo to je python skript a ten len prečíta výsledok php a podla toho Dˇalej pokračuje, ale nemôžem sa spoliehať nato že ten .php nikto nikdy neobjaví. No znaky ako <, />,',",\\ som ponahrádzal za všeličo možné čo vyhodí syntax error ale neviem ešte čo všetko by som moholo ošetriť
_________________ Nesnívaj svoj život, ale ži svoj sen. |
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
Skus popozerat Ochrana PHP skriptov a vy, mozno tam najdes nieco uzitocne
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 02.06.08 Prihlásený: 19.07.16 Príspevky: 3325 Témy: 147 Bydlisko: Žilina / Os... |
POST data z nejakeho formuláru sa dajú jednoducho upraviť, pri obrane proti CSRF sa používajú často tokeny priamo v URL.
_________________ PC - ASUS M2N-MX Se+ | AMD X2 4200+ | 2GB RAM | Nvidia 8600GT | WD 320GB | 350W |NTB - ASUS K50AB SX-010 | | ASUS X550L | SteelSeries Mousepad | A4tech XL-750BF | HTC Explorer | CCNA (640-802) | |
|
Registrovaný: 17.07.11 Prihlásený: 29.12.20 Príspevky: 1516 Témy: 3 | Napísal BX: 04.04.2014 21:11 | |
|
Jasné, že aj post sa dá podvrhnúť, ale nevieš to využiť tak, ako popisujem. To je tá najzákladnejšia technika, ktorá by sa mala dodržiavať.
_________________ Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|