| Autor | Správa |
|---|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| | Ale nemôžte použiť jednu univerzálnu funkciu proti všetkým typom útokov. Napríklad vám nepomôže keď dáte Kód: $query = "SELECT * FROM tabulka WHERE id=".htmlentities($_GET['id']) . Treba nad každým jedným riadkom napísaného kódu rozmýšlať. |
|
Fórum: Backend Téma: Knihy, knihy, knihy, čítam, čítaš, čítame |
Odpovede: 238
Zobrazenia: 30133
| |
Fórum: Unix-like systémy Téma: inštalácia ubuntu |
Odpovede: 14
Zobrazenia: 963
| | V tom prípade nemôžeš hibernovať, nie? |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| Základ bezpečnosti je - všetko je nebezpečné okrem toho, čo som skontroloval podľa striktných pravidiel. Neverte ani vlastným dátam. Dokonca aj veci, ktoré máte v sessionoch treba kontrolovať. A zabezpečiť session proti ukradnutiu.
K tým databázam, naozaj nemôžte veriť tomu, že všetky údaje sú tam ... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| stenley, jj, to som zabudol spomenúť, whitelisting je momentálne najbezpečnejšia metóda.Robí sa väčšinou pomocou regexp - v php sú na to funkcie skupín preg a ereg.
Okrem toho, ak očakávaš, že vstup má byť číslo, použi settype($input,"integer") alebo intval, na desatinné čísla tiež settyp... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| Hlavne sa na to nespoliehaj, že "veď načo by to niekto skúšal", to je výraz absolútneho amatérizmu. Na Slovensku asi 3/4 php-čkarov to tak bere.
Nie je to celkom tak, že by ti stačilo mysql_real_escape_stringa pod. To ťa SČASTI ochráni proti sql injection, ale je ešte veľa veľa vecí, ktor... |
|
Fórum: Backend Téma: Chybny upload, pls help. |
Odpovede: 6
Zobrazenia: 576
| | Type ti je fakt na nič. Raz som dostal mailom grafický návrh v PNG a PSD. Čakali by ste, že jedno bude PNG a druhé PSD? Omyl! Obidve boli premenované JPG. |
|
Fórum: Backend Téma: Java builder |
Odpovede: 7
Zobrazenia: 857
| | netbeans myslím, ale určite ti niekto poradí lepšie, ja v jave nerobím. |
|
Fórum: Frontend Téma: Postupná zmena |
Odpovede: 31
Zobrazenia: 1767
| napr
function init(){
obj = document.getElementById('info');
if(obj){
obj.href="javascript.void(0)";
if(!document.all)
anchors[i].addEventListener("click",ukazinfo,false);
else
anchors[i].attachEvent("onc... |
|
Fórum: Frontend Téma: Postupná zmena |
Odpovede: 31
Zobrazenia: 1767
| Mne o tom niečo hovor. Ja sám mám pri browsovaní javascript vypnutý, ale šéf akosi bazíruje na všetom, čo sa len ošuchlo okolo ajaxu (mám pocit, že ani nevie, čo ja ajax a čo javascript), ako keby to bolo nejaké zázračné slovíčko, ktoré dokáže vyriešiť všetky problémy na svete.
Ale keď už, tak radš... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| |
Fórum: Backend Téma: automaticke odhlasenie usera |
Odpovede: 8
Zobrazenia: 795
| | Ja stĺpec login on/off nepoužívam. Proste len zmažeš session a hotovo. |
|
Fórum: Frontend Téma: Postupná zmena |
Odpovede: 31
Zobrazenia: 1767
| | Pre doplnenie, keď už chcete spraviť odkaz, ktorý nikam nevedie, iba robí nejaký javascript, tak dávajte javascript:void(0) namiesto # |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| No na túto stránku ti môžem akurát tak spraviť brute-force na tvoje heslo do nejakého admina alebo ftp, keďže tam nič nemáš.
K tým právnym veciam, nerozumiem sa tomu, ale ak je politická objednávka, si vinný. Či si len BFU a náhodou si sa ocitol na stránke nejakého úradu počas útoku pochádzajúceh... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| To boli úplné lamy v polícii, čo to celé poondili.
Ale čo si pamätám, tak si posťahovali niekoľko giga mailov... A nabúrali sa ako keby do prísne stráženého objektu. Ako keby preskočili plot kasární. Že ten plot bol deravý a bola pri ňom osvetlená neónová reklama "vchod tu", to ich už nez... |
|
Fórum: Frontend Téma: Jednoduchy script |
Odpovede: 10
Zobrazenia: 1003
|
<script language="javascript">
function $(elementname){
return document.getElementById(elementname);
}
function spocitaj(){
$("nejakydiv").textContent=$("input1").value*60
}
</script>
<input id="input... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| | Ale aj to je relatívne. Pokiaľ si prokurátorov syn, tak to trestné nie je. Aj keby si všetkých zamestnancov banky pozabíjal. |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
|  ze si sa to nepytal vazne? |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| Pokial to budú skúšať iba u seba, nie je problém. Myslím, že kým sa pýtajú takýmto spôsobom, nebudú schopní uškodiť poriadne ani sebe (aj keď poznajú vlastné zdrojáky), nie ešte cudzím.
Spôsoby útokov, typy zraniteľností a pod. by mal poznať každý programátor. Využitie na dobro/zlo je už len na jeh... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| euthanan, napíš propozície. Bez nich ti neporadím. Napríklad či tam máš čisté html, alebo ťaháš veci z databázy... prípadne napíš adresu, ja ti ju zhodím  |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| Ja som mal problém s WebGoat, že sa mi nikdy nepodarilo poriadne rozbehať javovský server :D
Skús si prečítať aj http://airdump.cz/pokrocile-techniky-xs ... scripting/ Vlastne literatúry o tejto téme je plno, stačí len trošku pohladať. Začiatky sú v manuáli k php http://sk.php.net/manual/en/securit... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| Ono niekedy stačí napísať zlý skript, v ktorom sa ti niečo napríklad zacyklí a nemusí tam byť ani sql injekcia
Skúšal si firefox + sql inject me? |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| | No ak by funkcia vykonávajúca mysql query brala viacero dopytov naraz, môžeš dať Kód: 1; DROP DATABASE `databaza`
Ale iný príklad (nie drop):
Kód: DELETE FROM tabulka WHERE id=$_GET['id'] Za $_GET['id'] dosaď 1 OR 1=1 a máš vymazané všetky dáta z tabuľky Kód: DELETE FROM tabulka WHERE id=1 OR 1=1 |
|
Fórum: Frontend Téma: Jednoduchy script |
Odpovede: 10
Zobrazenia: 1003
| <script language="javascript">
function $(elementname){
return document.getElementById(elementname);
}
function spocitaj(){
$("input3").value=$("input1").value-(-$("input2").value)
}... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| | No to nie je tak jednoduché. Musíš tomu dať hlavu a pätu. Keď aplikuješ tvoj príklad do môjho príkladu, vznikne ti príkaz Kód: SELECT * FROM abc WHERE id=DROP DATABASE `meno DB` čo je samozrejme nezmysel a hovadina. |
|
Fórum: Backend Téma: automaticke odhlasenie usera |
Odpovede: 8
Zobrazenia: 795
| Nie, nezmažú, pokiaľ nemáš nastavené automatické mazanie cookies po zatvorení browsera. A zmazať sa ti môže akurát session_id uložené v cookies, ale na strane servera ešte furt údaje sú. Čiže sa k nim ešte dá dostať, ak niekto zistí pôvodné session_id. Ale to už som zašiel moc ďaleko...
// euthan... |
|
Fórum: Backend Téma: Utok na vlastnu stranku |
Odpovede: 72
Zobrazenia: 3456
| Najprv sa nauč sql, potom skúšaj zhodiť vlastnú stránku. A na takéto účely existujú automatizované nástroje ako XSS Me alebo SQL Inject Me.
Aby si videl, čo robí sql príkaz, pred neošetrené sql query daj echoKód: echo $query="SELECT * FROM abc WHERE id=".$_GET['nieco'] |
|
Fórum: Backend Téma: automaticke odhlasenie usera |
Odpovede: 8
Zobrazenia: 795
| V podstate jediné, čo môžeš spraviť, je skrátiť životnosť sessionov. Ešte som našiel takýto javascriptový skriptík window.onunload = function(){
if(self.screenTop>9000)alert('Closed.')
}
Namiesto alertu tam môžeš dosadiť nejaký ajax alebo čo a vyvolať tak odhlásen... |
|
Fórum: Backend Téma: Mail formulár |
Odpovede: 10
Zobrazenia: 1051
| miso250593 píše: a ako to mám spraviť pomocou tej knižnice?
myslím, že tie knižnice by mali byť zdokumentované. Čítaj, čítaj, čítaj. |
|
Fórum: Frontend Téma: Zalozky |
Odpovede: 13
Zobrazenia: 1023
| | Pozor, aby to nevyzeralo rušivo. Ja som pred 2 týždňami riešil túto vec ešte prostredníctvom set_timeout, aby tam bol nejaký delay. Keď nastal onmouseover, nastavil som ten set_timeout, v prípade, že nastal onemouseout, zistil som, či beží takýto časovač a ak áno, tak som ho zrušil pomocou clear_tim... |
|