| | |
| Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
Autor | Správa |
---|
Registrovaný: 16.03.09 Prihlásený: 19.05.09 Príspevky: 43 Témy: 7 | Napísal lolko: 01.05.2009 18:11 | |
|
Zaujímalo by ma, či by nebol dobrý nápad napr. vyvinúť si vlastný "kodovanie" názvov súborov, myslím tým, že napr. miesto admin.php by bolo drzdrtz.php proste neaké znaky samozrejme podľa neakého zmyslu kodovania abo tak. Zťažilo by to cestu prípadnému narušitelovi mojej aplikácie?
Díki.
|
|
Registrovaný: 25.02.07 Prihlásený: 16.02.16 Príspevky: 876 Témy: 144 | Napísal kajbo: 01.05.2009 18:29 | |
|
|
|
Registrovaný: 16.03.09 Prihlásený: 19.05.09 Príspevky: 43 Témy: 7 | Napísal autor témy lolko: 01.05.2009 18:54 | |
|
Heh díki nj sám ma to tak napadlo, bo v poslednom čase akosi nespávam koli tomu, že takéto veci vymýšlam a veci ako čo nakodovať a tak Len by ma zaujímalo, že či by to malo naozaj efekt od niekoho, kto sa viaczaujíma webovoiu bezpečnosťou ako ja
|
|
|
Prepac ale to co si popisal v prvom poste je zbytocne. Naco je to dobre (uplna zbytocnost co na ochrane tvojho webu nic neprida) ???? Pis bezpecne zdrojaky, osetruj vstupy a neries somariny
|
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal JanoF: 01.05.2009 23:43 | |
|
Jednym z rieseni je napriklad ioncube. Ak by sa niekto k tvojim php scriptom dostal, tak budu zasifrovane a tym padom pre utocnika nepouzitelne pre vlastnu potrebu... Samorejme hosting musi ioncube podporovat a na tamten blud co si napisal v prvom poste zabudni, s tym nic nevyriesis.
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
A co mi spravi, ked bude vediet napr, ze mam administraciu v subore:
/zdrojaky/admin/tajne/administracia.php ???
Pride tam a co? Mam overenie, ci je prihlaseny, ten subor niekam includujem, a overujem, ci bol includovany...
cez tieto dve ochrany sa nedostane..
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
Blackshadow píše: A co mi spravi, ked bude vediet napr, ze mam administraciu v subore: /zdrojaky/admin/tajne/administracia.php ??? Pride tam a co? Mam overenie, ci je prihlaseny, ten subor niekam includujem, a overujem, ci bol includovany...
cez tieto dve ochrany sa nedostane..
Vie kam smerovať úsilie na prelomenie. Neboj, on tam už nájde nejakú skulinku pokiaľ nie je lama. Napríklad ti ukradne sessionid a nepotrebuje sa ani prihlasovať
|
|
Registrovaný: 16.03.09 Prihlásený: 19.05.09 Príspevky: 43 Témy: 7 | Napísal autor témy lolko: 02.05.2009 10:26 | |
|
ide o to, že napr. minule bola odhalená tá chyba injekcie do Gašparovičovej stránky a pod, kto používal ten RS.... viem, že to bolo prasácky napísané: v url si prepísal action=view na edit a už si mohol upravovať text mno a keby mám ja napr. že action=dfktrs by bolo to view a action=dftzuh by bolo edit (viem, že toto je blbý sposob upravy iba pre ukážku) tak by bolo tažšie útočníkovi uhádnuť tu hodnotu ako prepísať to na edit bo to napadne každého ako prvé
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
Takto prasácky to mala myslím Martináková
cez ten action by som to vôbec neriešil, jednoznačne to v adrese nemá čo robiť. Ak to chceš upravovať, tak v adminskej zóne s úplne inou cestou
_________________ neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 16.03.09 Prihlásený: 19.05.09 Príspevky: 43 Témy: 7 | Napísal autor témy lolko: 02.05.2009 12:31 | |
|
jj ja viem ja iba pre príklad, že možno celkovo by bolo možno ťažšie sa tam útočníkovi dostať bo aj keby mi trebarz objaví celú záložku a je tam kopa súborov s nezmyselnými názvami by som ho možno spomalil bo takto by hladal hned súbory typu config.php a pod a takto by nevedel, kde začať možno si spravím vlastný "hash" ktorý ale bude fungovať aj reverse
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
nj, ale to bude zas náročné na údržbu skriptov, keď budeš niečo meniť, prípadne niekoho priberieš do tímu a je to v pr... pretože sa v tom nebude časom vyznať nikto. Aby ťa to nedostalo do ešte väčších problémov.
_________________ neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 16.03.09 Prihlásený: 19.05.09 Príspevky: 43 Témy: 7 | Napísal autor témy lolko: 03.05.2009 10:24 | |
|
nj ale tak to bol iba taký nápad
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
Prva vec: ako mi ukradnes session id ?
Druha vec: to action=edit/view je trosku masaker..
Tretia vec: miliony stranok bezia na znamych RS, kde presne poznas strukturu a predsa sa malokedy najde chyba
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 03.05.2009 16:25 | |
|
Blackshadow píše: Prva vec: ako mi ukradnes session id ?
napriklad pomocou xss. s tym edit/view si myslim, ze to neni taky masaker, pokial to mas dostatocne osetrene. je to to iste co si spominal pri oss produktoch, ktorych strukturu si moze pozret kazdy.
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
suchy: ked uz mam stranku napadnutelnu XSS a ukradne mi session id, tak uz ci sa mi administracny subor vola admin.php alebo ddasdasd.php, je to jedno, nemyslis ?
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 03.05.2009 16:34 | |
|
nechapem, preco takuto otazku pokladas mne. ja som tuto temu nezalozil
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 16.03.09 Prihlásený: 19.05.09 Príspevky: 43 Témy: 7 | Napísal autor témy lolko: 03.05.2009 18:32 | |
|
A to ako ju chcete položiť mne? Ved ja som ten, čo sa pýtal-> chcel som odpovede a nie ešte otázky na mňa
|
|
| Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| Používané pluginy v Firefoxu? [ Choď na stránku: 1, 2 ] v Sieťové a internetové programy | 33 | 3636 | 31.07.2007 16:30 KaktusBR | | P: pouzivane HDD a SSHD v Predám | 3 | 862 | 27.06.2019 8:45 dansy | | Užitočné a často používané skripty [ Choď na stránku: 1, 2 ] v PHP, ASP | 37 | 35316 | 27.05.2018 7:18 JanoF | | Tema pre casto pouzivane skripty [ Choď na stránku: 1 ... 6, 7, 8 ] v PHP, ASP | 223 | 14366 | 08.01.2013 9:18 dulius | | Nazvy tem v Správy pre vedenie fóra | 1 | 1620 | 27.10.2005 16:36 Luks | | Názvy pesničiek v Audio programy | 3 | 651 | 24.06.2014 22:57 Acrox | | nazvy adresarov v PHP, ASP | 1 | 303 | 13.03.2013 17:42 shaggy | | Dlhé názvy nickov v Správy pre vedenie fóra | 5 | 1460 | 20.10.2007 0:07 Spirit | | Vymyslene nazvy filmov v Kultúra, umenie, filmy, hudba, história, média | 23 | 2549 | 08.05.2007 16:49 Rasputin | | Grid a názvy stlpcov v Delphi, Visual Basic | 0 | 472 | 02.12.2010 14:36 jasug | | I/P: CPU i3550, RAM 8gb, MB - používané v Predám | 0 | 374 | 31.01.2018 13:20 twardykamen | | I/P: CPU, GPU, RAMky, ZDROJe, MB - používané v Predám | 11 | 2121 | 08.02.2018 13:58 Gogi | | Vypisanie dat mysql, ak nepoznam nazvy stlpcov v PHP, ASP | 1 | 655 | 03.03.2011 22:55 venom2 | | Vír ktorý premenil názvy súborov na divné znaky v Antivíry a antispywary | 3 | 771 | 15.08.2017 16:47 Megi | | Win 7 Professional - príliš dlhé názvy zložiek / priečinkov v Operačné systémy Microsoft | 2 | 1177 | 25.03.2015 13:44 Megi | | Hack webu v Ostatné | 5 | 713 | 21.03.2011 21:13 coldak |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|