[ Príspevkov: 17 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7
NapísalOffline : 01.05.2009 18:11 | hack- používane názvy

Zaujímalo by ma, či by nebol dobrý nápad napr. vyvinúť si vlastný "kodovanie" názvov súborov, myslím tým, že napr. miesto admin.php by bolo drzdrtz.php proste neaké znaky samozrejme podľa neakého zmyslu kodovania abo tak. Zťažilo by to cestu prípadnému narušitelovi mojej aplikácie? :?

Díki.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 25.02.07
Prihlásený: 16.02.16
Príspevky: 876
Témy: 144 | 144
NapísalOffline : 01.05.2009 18:29 | hack- používane názvy

:D :D :D to si vymyslel sam? to je dost dobre :D


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7
Napísal autor témyOffline : 01.05.2009 18:54 | hack- používane názvy

Heh díki nj sám ma to tak napadlo, bo v poslednom čase akosi nespávam koli tomu, že takéto veci vymýšlam a veci ako čo nakodovať a tak :D Len by ma zaujímalo, že či by to malo naozaj efekt od niekoho, kto sa viaczaujíma webovoiu bezpečnosťou ako ja :)


Offline

Užívateľ
Užívateľ
hack- používane názvy

Registrovaný: 24.11.06
Prihlásený: 10.02.15
Príspevky: 431
Témy: 50 | 50
Bydlisko: Komárno
NapísalOffline : 01.05.2009 23:39 | hack- používane názvy

Prepac ale to co si popisal v prvom poste je zbytocne. Naco je to dobre (uplna zbytocnost co na ochrane tvojho webu nic neprida) ???? Pis bezpecne zdrojaky, osetruj vstupy a neries somariny :lol:


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
hack- používane názvy

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 01.05.2009 23:43 | hack- používane názvy

Jednym z rieseni je napriklad ioncube. Ak by sa niekto k tvojim php scriptom dostal, tak budu zasifrovane a tym padom pre utocnika nepouzitelne pre vlastnu potrebu... Samorejme hosting musi ioncube podporovat a na tamten blud co si napisal v prvom poste zabudni, s tym nic nevyriesis.


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Užívateľ
Užívateľ
hack- používane názvy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 02.05.2009 0:15 | hack- používane názvy

A co mi spravi, ked bude vediet napr, ze mam administraciu v subore:
/zdrojaky/admin/tajne/administracia.php ???
Pride tam a co? Mam overenie, ci je prihlaseny, ten subor niekam includujem, a overujem, ci bol includovany...

cez tieto dve ochrany sa nedostane..


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Skúsený užívateľ
Skúsený užívateľ
hack- používane názvy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 02.05.2009 9:35 | hack- používane názvy

Blackshadow píše:
A co mi spravi, ked bude vediet napr, ze mam administraciu v subore:
/zdrojaky/admin/tajne/administracia.php ???
Pride tam a co? Mam overenie, ci je prihlaseny, ten subor niekam includujem, a overujem, ci bol includovany...

cez tieto dve ochrany sa nedostane..


Vie kam smerovať úsilie na prelomenie. Neboj, on tam už nájde nejakú skulinku pokiaľ nie je lama. Napríklad ti ukradne sessionid a nepotrebuje sa ani prihlasovať :-)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7
Napísal autor témyOffline : 02.05.2009 10:26 | hack- používane názvy

ide o to, že napr. minule bola odhalená tá chyba injekcie do Gašparovičovej stránky a pod, kto používal ten RS.... viem, že to bolo prasácky napísané: v url si prepísal action=view na edit a už si mohol upravovať text :-D mno a keby mám ja napr. že action=dfktrs by bolo to view a action=dftzuh by bolo edit (viem, že toto je blbý sposob upravy iba pre ukážku) tak by bolo tažšie útočníkovi uhádnuť tu hodnotu ako prepísať to na edit bo to napadne každého ako prvé :D


Offline

Skúsený užívateľ
Skúsený užívateľ
hack- používane názvy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 02.05.2009 10:48 | hack- používane názvy

Takto prasácky to mala myslím Martináková
cez ten action by som to vôbec neriešil, jednoznačne to v adrese nemá čo robiť. Ak to chceš upravovať, tak v adminskej zóne s úplne inou cestou


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7
Napísal autor témyOffline : 02.05.2009 12:31 | hack- používane názvy

jj ja viem ja iba pre príklad, že možno celkovo by bolo možno ťažšie sa tam útočníkovi dostať bo aj keby mi trebarz objaví celú záložku a je tam kopa súborov s nezmyselnými názvami by som ho možno spomalil bo takto by hladal hned súbory typu config.php a pod a takto by nevedel, kde začať :D možno si spravím vlastný "hash" ktorý ale bude fungovať aj reverse :D


Offline

Skúsený užívateľ
Skúsený užívateľ
hack- používane názvy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 02.05.2009 19:32 | hack- používane názvy

nj, ale to bude zas náročné na údržbu skriptov, keď budeš niečo meniť, prípadne niekoho priberieš do tímu a je to v pr... pretože sa v tom nebude časom vyznať nikto. Aby ťa to nedostalo do ešte väčších problémov.


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7
Napísal autor témyOffline : 03.05.2009 10:24 | hack- používane názvy

nj ale tak to bol iba taký nápad :D


Offline

Užívateľ
Užívateľ
hack- používane názvy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 03.05.2009 16:22 | hack- používane názvy

Prva vec: ako mi ukradnes session id ?

Druha vec: to action=edit/view je trosku masaker..

Tretia vec: miliony stranok bezia na znamych RS, kde presne poznas strukturu a predsa sa malokedy najde chyba :)


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Čestný člen
Čestný člen
hack- používane názvy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 03.05.2009 16:25 | hack- používane názvy

Blackshadow píše:
Prva vec: ako mi ukradnes session id ?

napriklad pomocou xss. s tym edit/view si myslim, ze to neni taky masaker, pokial to mas dostatocne osetrene. je to to iste co si spominal pri oss produktoch, ktorych strukturu si moze pozret kazdy.


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Užívateľ
Užívateľ
hack- používane názvy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 03.05.2009 16:30 | hack- používane názvy

suchy: ked uz mam stranku napadnutelnu XSS a ukradne mi session id, tak uz ci sa mi administracny subor vola admin.php alebo ddasdasd.php, je to jedno, nemyslis ?


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Čestný člen
Čestný člen
hack- používane názvy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 03.05.2009 16:34 | hack- používane názvy

nechapem, preco takuto otazku pokladas mne. ja som tuto temu nezalozil :D


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7
Napísal autor témyOffline : 03.05.2009 18:32 | hack- používane názvy

A to ako ju chcete položiť mne? Ved ja som ten, čo sa pýtal-> chcel som odpovede a nie ešte otázky na mňa :-D


 [ Príspevkov: 17 ] 


hack- používane názvy



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Používané pluginy v Firefoxu?

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Sieťové a internetové programy

33

2947

31.07.2007 16:30

KaktusBR

V tomto fóre nie sú ďalšie neprečítané témy.

Užitočné a často používané skripty

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PHP, ASP

36

30926

22.02.2013 18:43

imrich

V tomto fóre nie sú ďalšie neprečítané témy.

Tema pre casto pouzivane skripty

[ Choď na stránku:Choď na stránku: 1 ... 6, 7, 8 ]

v PHP, ASP

223

11329

08.01.2013 9:18

dulius

V tomto fóre nie sú ďalšie neprečítané témy.

I/P: CPU, GPU, RAMky, ZDROJe, MB - používané

v Predám

6

397

13.12.2017 20:54

Spider4ever

V tomto fóre nie sú ďalšie neprečítané témy.

Nazvy tem

v Správy pre vedenie fóra

1

1350

27.10.2005 16:36

Luks

V tomto fóre nie sú ďalšie neprečítané témy.

Názvy pesničiek

v Audio programy

3

144

24.06.2014 22:57

Acrox

V tomto fóre nie sú ďalšie neprečítané témy.

nazvy adresarov

v PHP, ASP

1

82

13.03.2013 17:42

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Dlhé názvy nickov

v Správy pre vedenie fóra

5

1183

20.10.2007 0:07

Spirit

V tomto fóre nie sú ďalšie neprečítané témy.

Vymyslene nazvy filmov

v Kultúra, umenie, filmy, hudba, história, média

23

1775

08.05.2007 16:49

Rasputin

V tomto fóre nie sú ďalšie neprečítané témy.

Grid a názvy stlpcov

v Delphi, Visual Basic

0

273

02.12.2010 14:36

jasug

V tomto fóre nie sú ďalšie neprečítané témy.

Vypisanie dat mysql, ak nepoznam nazvy stlpcov

v PHP, ASP

1

381

03.03.2011 22:55

venom2

V tomto fóre nie sú ďalšie neprečítané témy.

hack PHPBB

v Redakčné systémy

11

2665

25.10.2008 16:10

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

alterIW hack

v Antivíry a antispywary

9

416

12.05.2011 21:18

ioLo+

V tomto fóre nie sú ďalšie neprečítané témy.

hack routra

v Siete

2

402

10.02.2009 11:01

zmija31

V tomto fóre nie sú ďalšie neprečítané témy.

Hack webu

v Ostatné

5

515

21.03.2011 21:13

coldak

V tomto fóre nie sú ďalšie neprečítané témy.

Hack stranky

v PHP, ASP

7

3571

08.02.2009 18:58

neopagan



© 2005 - 2017 PCforum, edited by JanoF