Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
| Autor | Správa |
|---|
Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7 |
Zaujímalo by ma, či by nebol dobrý nápad napr. vyvinúť si vlastný "kodovanie" názvov súborov, myslím tým, že napr. miesto admin.php by bolo drzdrtz.php proste neaké znaky samozrejme podľa neakého zmyslu kodovania abo tak. Zťažilo by to cestu prípadnému narušitelovi mojej aplikácie? 
Díki.
|
|
Registrovaný: 25.02.07
Prihlásený: 16.02.16
Príspevky: 876
Témy: 144 | 144 | |
Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7 |
Heh díki nj sám ma to tak napadlo, bo v poslednom čase akosi nespávam koli tomu, že takéto veci vymýšlam a veci ako čo nakodovať a tak  Len by ma zaujímalo, že či by to malo naozaj efekt od niekoho, kto sa viaczaujíma webovoiu bezpečnosťou ako ja 
|
|
|
Prepac ale to co si popisal v prvom poste je zbytocne. Naco je to dobre (uplna zbytocnost co na ochrane tvojho webu nic neprida) ???? Pis bezpecne zdrojaky, osetruj vstupy a neries somariny 
|
|
Registrovaný: 01.05.05
Príspevky: 13557
Témy: 1483 | 1483
Bydlisko: Bratislava |
Jednym z rieseni je napriklad ioncube. Ak by sa niekto k tvojim php scriptom dostal, tak budu zasifrovane a tym padom pre utocnika nepouzitelne pre vlastnu potrebu... Samorejme hosting musi ioncube podporovat a na tamten blud co si napisal v prvom poste zabudni, s tym nic nevyriesis.
_________________
Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 11 Enterprise | APC Back-UPS BE-850 VA | Lenovo ThinkPad X1 Carbon | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA & Samsung SSD 860 1 TB | Ubuntu 24.04 LTS | Dell Wyse 3040 | Intel Atom x5-Z8350 | 2 GB DDR3 1600 MHz | 16 GB eMMC | 24" EIZO FlexScan EV2451 | Alpine Linux + XFCE4 |
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
A co mi spravi, ked bude vediet napr, ze mam administraciu v subore:
/zdrojaky/admin/tajne/administracia.php ???
Pride tam a co? Mam overenie, ci je prihlaseny, ten subor niekam includujem, a overujem, ci bol includovany...
cez tieto dve ochrany sa nedostane..
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
Blackshadow píše: A co mi spravi, ked bude vediet napr, ze mam administraciu v subore:
/zdrojaky/admin/tajne/administracia.php ???
Pride tam a co? Mam overenie, ci je prihlaseny, ten subor niekam includujem, a overujem, ci bol includovany...
cez tieto dve ochrany sa nedostane..
Vie kam smerovať úsilie na prelomenie. Neboj, on tam už nájde nejakú skulinku pokiaľ nie je lama. Napríklad ti ukradne sessionid a nepotrebuje sa ani prihlasovať 
|
|
Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7 |
ide o to, že napr. minule bola odhalená tá chyba injekcie do Gašparovičovej stránky a pod, kto používal ten RS.... viem, že to bolo prasácky napísané: v url si prepísal action=view na edit a už si mohol upravovať text  mno a keby mám ja napr. že action=dfktrs by bolo to view a action=dftzuh by bolo edit (viem, že toto je blbý sposob upravy iba pre ukážku) tak by bolo tažšie útočníkovi uhádnuť tu hodnotu ako prepísať to na edit bo to napadne každého ako prvé
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
Takto prasácky to mala myslím Martináková
cez ten action by som to vôbec neriešil, jednoznačne to v adrese nemá čo robiť. Ak to chceš upravovať, tak v adminskej zóne s úplne inou cestou
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7 |
jj ja viem ja iba pre príklad, že možno celkovo by bolo možno ťažšie sa tam útočníkovi dostať bo aj keby mi trebarz objaví celú záložku a je tam kopa súborov s nezmyselnými názvami by som ho možno spomalil bo takto by hladal hned súbory typu config.php a pod a takto by nevedel, kde začať možno si spravím vlastný "hash" ktorý ale bude fungovať aj reverse
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
nj, ale to bude zas náročné na údržbu skriptov, keď budeš niečo meniť, prípadne niekoho priberieš do tímu a je to v pr... pretože sa v tom nebude časom vyznať nikto. Aby ťa to nedostalo do ešte väčších problémov.
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7 |
nj ale tak to bol iba taký nápad
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
Prva vec: ako mi ukradnes session id ?
Druha vec: to action=edit/view je trosku masaker..
Tretia vec: miliony stranok bezia na znamych RS, kde presne poznas strukturu a predsa sa malokedy najde chyba
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1752
Témy: 17 | 17 |
Blackshadow píše: Prva vec: ako mi ukradnes session id ?
napriklad pomocou xss. s tym edit/view si myslim, ze to neni taky masaker, pokial to mas dostatocne osetrene. je to to iste co si spominal pri oss produktoch, ktorych strukturu si moze pozret kazdy.
_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
suchy: ked uz mam stranku napadnutelnu XSS a ukradne mi session id, tak uz ci sa mi administracny subor vola admin.php alebo ddasdasd.php, je to jedno, nemyslis ?
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1752
Témy: 17 | 17 |
nechapem, preco takuto otazku pokladas mne. ja som tuto temu nezalozil
_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 16.03.09
Prihlásený: 19.05.09
Príspevky: 43
Témy: 7 | 7 |
A to ako ju chcete položiť mne? Ved ja som ten, čo sa pýtal-> chcel som odpovede a nie ešte otázky na mňa
|
|
Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
|
Choď na stránku: 
