 | | |
 | Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
| Autor | Správa |
|---|
Registrovaný: 21.09.13
Prihlásený: 15.04.24
Príspevky: 2110
Témy: 77
Bydlisko: Považská By... |
Ahoj, potreboval by som ochrániť pár vstupov (z $_GET udaje idu do db). No a potreboval by som názvy praktík ktore umožnia ziskať utočnikovi nejaku kontrolu nad webom/db. Sql inject aj xss by som mal nejake ďalšie napady nato ako by mi mohol uškodiť?
Ďakujem
_________________
Nesnívaj svoj život, ale ži svoj sen. |
|
Registrovaný: 17.07.11
Prihlásený: 29.12.20
Príspevky: 1516
Témy: 3 |  Napísal BX: 03.04.2014 22:26 | |
|
Zásadne sa cez get parametre nepristupuje k url takej, ktorá robí priamo zmenu v databázi. Napríklad dajme tomu, že máš niečo ako edit.php?action=delete_user&id=12 Ja ako útočník to môžem poslať adminovi ako zamaskovaný link a spoliehať na to, že admin je prihlásený (má aktívne session) Tým pádom vymaže užívateľa bez toho, aby s tým mohol niečo robiť, ups  A toto je ten lepší prípad. Ak ti idú veci z GET parametra priamo do databáze, tak je to oveľa horšie. Nerob to. Vždy choď cez post. No a čo všetko treba ošetriť, no všetko čo sa dá. Asi neexistuje nejaký zoznam, či návod.
_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
Registrovaný: 21.09.13
Prihlásený: 15.04.24
Príspevky: 2110
Témy: 77
Bydlisko: Považská By... | Napísal autor témy Kraliček: 03.04.2014 22:55 | |
|
Aj post sa dá upraviť. Ale inak to urobiť nemôžem lebo to je python skript a ten len prečíta výsledok php a podla toho Dˇalej pokračuje, ale nemôžem sa spoliehať nato že ten .php nikto nikdy neobjaví. No znaky ako <, />,',",\\ som ponahrádzal za všeličo možné čo vyhodí syntax error ale neviem ešte čo všetko by som moholo ošetriť
_________________
Nesnívaj svoj život, ale ži svoj sen. |
|
Registrovaný: 27.07.07
Príspevky: 3948
Témy: 51
Bydlisko: Bratislava |
Skus popozerat Ochrana PHP skriptov a vy, mozno tam najdes nieco uzitocne
_________________
NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 02.06.08
Prihlásený: 19.07.16
Príspevky: 3325
Témy: 147
Bydlisko: Žilina / Os... |
POST data z nejakeho formuláru sa dajú jednoducho upraviť, pri obrane proti CSRF sa používajú často tokeny priamo v URL.
_________________
PC - ASUS M2N-MX Se+ | AMD X2 4200+ | 2GB RAM | Nvidia 8600GT | WD 320GB | 350W |NTB - ASUS K50AB SX-010 | | ASUS X550L | SteelSeries Mousepad | A4tech XL-750BF | HTC Explorer |
CCNA (640-802) | |
|
Registrovaný: 17.07.11
Prihlásený: 29.12.20
Príspevky: 1516
Témy: 3 | Napísal BX: 04.04.2014 21:11 | |
|
Jasné, že aj post sa dá podvrhnúť, ale nevieš to využiť tak, ako popisujem. To je tá najzákladnejšia technika, ktorá by sa mala dodržiavať.
_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
| Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre
|
|
