[ Príspevkov: 6 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Deravé vstupy

Registrovaný: 21.09.13
Prihlásený: 14.12.17
Príspevky: 2065
Témy: 71 | 71
Bydlisko: Považská By...
NapísalOffline : 03.04.2014 22:16 | Deravé vstupy

Ahoj, potreboval by som ochrániť pár vstupov (z $_GET udaje idu do db). No a potreboval by som názvy praktík ktore umožnia ziskať utočnikovi nejaku kontrolu nad webom/db. Sql inject aj xss by som mal nejake ďalšie napady nato ako by mi mohol uškodiť?
Ďakujem


_________________
Nesnívaj svoj život, ale ži svoj sen.
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 14.12.17
Príspevky: 1433
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 03.04.2014 22:26 | Deravé vstupy

Zásadne sa cez get parametre nepristupuje k url takej, ktorá robí priamo zmenu v databázi.
Napríklad dajme tomu, že máš niečo ako edit.php?action=delete_user&id=12
Ja ako útočník to môžem poslať adminovi ako zamaskovaný link a spoliehať na to, že admin je prihlásený (má aktívne session) Tým pádom vymaže užívateľa bez toho, aby s tým mohol niečo robiť, ups :)

A toto je ten lepší prípad. Ak ti idú veci z GET parametra priamo do databáze, tak je to oveľa horšie. Nerob to. Vždy choď cez post.
No a čo všetko treba ošetriť, no všetko čo sa dá. Asi neexistuje nejaký zoznam, či návod.


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Užívateľ
Užívateľ
Deravé vstupy

Registrovaný: 21.09.13
Prihlásený: 14.12.17
Príspevky: 2065
Témy: 71 | 71
Bydlisko: Považská By...
Napísal autor témyOffline : 03.04.2014 22:55 | Deravé vstupy

Aj post sa dá upraviť. Ale inak to urobiť nemôžem lebo to je python skript a ten len prečíta výsledok php a podla toho Dˇalej pokračuje, ale nemôžem sa spoliehať nato že ten .php nikto nikdy neobjaví. No znaky ako <, />,',",\\ som ponahrádzal za všeličo možné čo vyhodí syntax error ale neviem ešte čo všetko by som moholo ošetriť


_________________
Nesnívaj svoj život, ale ži svoj sen.
Offline

Správca fóra
Správca fóra
Deravé vstupy

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 03.04.2014 23:10 | Deravé vstupy

Skus popozerat Ochrana PHP skriptov a vy, mozno tam najdes nieco uzitocne


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Deravé vstupy

Registrovaný: 02.06.08
Prihlásený: 19.07.16
Príspevky: 3330
Témy: 147 | 147
Bydlisko: Žilina / Os...
Vek: 24
NapísalOffline : 04.04.2014 20:43 | Deravé vstupy

POST data z nejakeho formuláru sa dajú jednoducho upraviť, pri obrane proti CSRF sa používajú často tokeny priamo v URL.


_________________
PC - ASUS M2N-MX Se+ | AMD X2 4200+ | 2GB RAM | Nvidia 8600GT | WD 320GB | 350W |NTB - ASUS K50AB SX-010 | | ASUS X550L | SteelSeries Mousepad | A4tech XL-750BF | HTC Explorer |
CCNA (640-802) |
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 14.12.17
Príspevky: 1433
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 04.04.2014 21:11 | Deravé vstupy

Jasné, že aj post sa dá podvrhnúť, ale nevieš to využiť tak, ako popisujem. To je tá najzákladnejšia technika, ktorá by sa mala dodržiavať.


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
 [ Príspevkov: 6 ] 


Deravé vstupy



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

analogove video vstupy

v nVidia grafické karty

12

761

12.01.2006 14:47

Fero

V tomto fóre nie sú ďalšie neprečítané témy.

Ako na vstupy v C++

v Assembler, C, C++, Pascal, Java

2

770

05.10.2007 16:42

programator

V tomto fóre nie sú ďalšie neprečítané témy.

Monitor, na boku monitora nefunguju usb vstupy

v Monitory, televízory a projektory

0

135

10.05.2012 15:56

petik

V tomto fóre nie sú ďalšie neprečítané témy.

Náhrada staršieho domáceho kina philips hts3357 - vstupy pre 5.1

v Zvuk

1

163

26.11.2015 13:21

KocuR



© 2005 - 2017 PCforum, edited by JanoF