Ru-MaNGOS

Вернуться   Ru-MaNGOS > Дополнения > WWW

Важная информация

WWW Web интерфейс для MaNGOS

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 08.03.2010, 19:01   #1
Кот ДаWINчи
Умный
 
Аватар для Кот ДаWINчи
 
Регистрация: 07.03.2010
Адрес: Северный Урал (60°сш, 60°вд)
Сообщений: 330
Сказал(а) спасибо: 82
Поблагодарили 399 раз(а) в 120 сообщениях
Записей в дневнике: 30
Кот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человек
Отправить сообщение для Кот ДаWINчи с помощью ICQ Отправить сообщение для Кот ДаWINчи с помощью Skype™
По умолчанию [SQL] SQl-инъекции

На прежнем ru RMDC форуме эта тема была, и совершенно случайно осталась у меня, сохраненная ввиде файла.

Цитата:
Сообщение от Kponoc
Администрация форума разрешила создать такую тему.Для незарегенных юзеров она скрыта,Думаю инфа полезна для тех кто сталкивался с проблемой, когда сервер взламывался через сайт. Информация приведенная ниже предназначена для нахождения уязвимости в сайтах с целью дальнейшего устранения.Данные собирал по кускам.

05.03.2009 14:12
И так Текст:
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 5 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Последний раз редактировалось Кот ДаWINчи; 08.03.2010 в 20:23.
Кот ДаWINчи вне форума   Ответить с цитированием
6 пользователя(ей) сказали cпасибо:
ANTOMA (26.03.2010), Hantet (09.06.2010), KiriX (08.03.2010), Madmunus (08.03.2010)
Старый 08.03.2010, 19:57   #2
Madmunus
Это просто он
 
Регистрация: 12.02.2010
Сообщений: 22
Сказал(а) спасибо: 6
Поблагодарили 27 раз(а) в 13 сообщениях
Madmunus На верном пути
По умолчанию

Мож немного подоформить темку? или в тэге хайда другие тэги не работают?
Madmunus вне форума   Ответить с цитированием
Старый 08.03.2010, 20:06   #3
DeusModus
Администратор
 
Аватар для DeusModus
 
Регистрация: 07.03.2010
Адрес: Питер.
Сообщений: 69
Сказал(а) спасибо: 66
Поблагодарили 102 раз(а) в 15 сообщениях
Записей в дневнике: 12
DeusModus отключил(а) отображение уровня репутации
По умолчанию

Цитата:
Сообщение от Madmunus Посмотреть сообщение
Мож немного подоформить темку? или в тэге хайда другие тэги не работают?
Работают. Однако, все торопятся.
DeusModus вне форума   Ответить с цитированием
Старый 08.03.2010, 20:11   #4
Madmunus
Это просто он
 
Регистрация: 12.02.2010
Сообщений: 22
Сказал(а) спасибо: 6
Поблагодарили 27 раз(а) в 13 сообщениях
Madmunus На верном пути
По умолчанию

Цитата:
Сообщение от DeusModus Посмотреть сообщение
Работают. Однако, все торопятся.
Да восстановить сейчас прежний вид форума одна из основных задач)
Madmunus вне форума   Ответить с цитированием
Старый 08.03.2010, 20:20   #5
Кот ДаWINчи
Умный
 
Аватар для Кот ДаWINчи
 
Регистрация: 07.03.2010
Адрес: Северный Урал (60°сш, 60°вд)
Сообщений: 330
Сказал(а) спасибо: 82
Поблагодарили 399 раз(а) в 120 сообщениях
Записей в дневнике: 30
Кот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человек
Отправить сообщение для Кот ДаWINчи с помощью ICQ Отправить сообщение для Кот ДаWINчи с помощью Skype™
По умолчанию

Цитата:
Сообщение от DeusModus Посмотреть сообщение
Работают. Однако, все торопятся.
У меня сохранено было в текстовый файл.

Всё поправил!

В продолжении темы. Вот вариант защиты:

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Последний раз редактировалось Кот ДаWINчи; 13.03.2010 в 17:55.
Кот ДаWINчи вне форума   Ответить с цитированием
Старый 13.03.2010, 11:28   #6
gR4mm
Гость
 
Сообщений: n/a
По умолчанию

Эх,жаль текста не вижу, сообщений не хватает.
Вставлю свои 5 копеек. ЕМНИП, дабы избежать скл-инъекции достатчно использовать параметризованные ХП.
  Ответить с цитированием
Старый 13.03.2010, 12:07   #7
ghostpast
Пользователь
 
Регистрация: 07.03.2010
Сообщений: 46
Сказал(а) спасибо: 11
Поблагодарили 17 раз(а) в 11 сообщениях
ghostpast На верном пути
По умолчанию

Цитата:
Сообщение от gR4mm Посмотреть сообщение
Эх,жаль текста не вижу, сообщений не хватает.
Вставлю свои 5 копеек. ЕМНИП, дабы избежать скл-инъекции достатчно использовать параметризованные ХП.
если в хранимой процедуре не будет проверок входных параметров на допустимые значения, то избежать SQL-инъекции не получится.
что касается скрытого текста, то я догадываюсь что там написано
ghostpast вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 13.03.2010, 17:59   #8
Кот ДаWINчи
Умный
 
Аватар для Кот ДаWINчи
 
Регистрация: 07.03.2010
Адрес: Северный Урал (60°сш, 60°вд)
Сообщений: 330
Сказал(а) спасибо: 82
Поблагодарили 399 раз(а) в 120 сообщениях
Записей в дневнике: 30
Кот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человек
Отправить сообщение для Кот ДаWINчи с помощью ICQ Отправить сообщение для Кот ДаWINчи с помощью Skype™
По умолчанию

gR4mm, ghostpast, Там написано всё то, что можно вычитать погуглив фразу "SQl-инъекции". Просто Вся информация собрано воедино, и направлена на то, чтобы создатели скриптов могли сделать хоть какой-то вывод для себя.
Кот ДаWINчи вне форума   Ответить с цитированием
Старый 13.03.2010, 21:20   #9
gR4mm
Гость
 
Сообщений: n/a
По умолчанию

Цитата:
Сообщение от ghostpast Посмотреть сообщение
если в хранимой процедуре не будет проверок входных параметров на допустимые значения, то избежать SQL-инъекции не получится.
что касается скрытого текста, то я догадываюсь что там написано
Наконец то вижу скрытый текст.
Честно говоря, не представляю варианта скл-инъекции в случае использования хп. Если не сложно, привидите пример.
Предлагаю сделать тут мини факу по возможным вариантам инъекции и путей их избежания.
  Ответить с цитированием
Старый 17.03.2010, 10:13   #10
Kujbor
Новичок
 
Аватар для Kujbor
 
Регистрация: 13.03.2010
Адрес: Самара
Сообщений: 20
Сказал(а) спасибо: 13
Поблагодарили 2 раз(а) в 1 сообщении
Записей в дневнике: 1
Kujbor На верном пути
По умолчанию

Аналогично ничего не вижу да и не горю желанием если чесно)) У меня 1 вопрос:

Кот ДаWINчи, в вашем ACP2 есть такие уязвимости? Если нет то я спокоен, если да то что сделать-то нужно чтобы обезопаситься?
Kujbor вне форума   Ответить с цитированием
Старый 17.03.2010, 14:07   #11
Кот ДаWINчи
Умный
 
Аватар для Кот ДаWINчи
 
Регистрация: 07.03.2010
Адрес: Северный Урал (60°сш, 60°вд)
Сообщений: 330
Сказал(а) спасибо: 82
Поблагодарили 399 раз(а) в 120 сообщениях
Записей в дневнике: 30
Кот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человекКот ДаWINчи Реально хороший человек
Отправить сообщение для Кот ДаWINчи с помощью ICQ Отправить сообщение для Кот ДаWINчи с помощью Skype™
По умолчанию

Цитата:
Сообщение от Kujbor Посмотреть сообщение
Аналогично ничего не вижу да и не горю желанием если чесно)) У меня 1 вопрос:

Кот ДаWINчи, в вашем ACP2 есть такие уязвимости? Если нет то я спокоен, если да то что сделать-то нужно чтобы обезопаситься?
прочитай тему про АСР целиком! Там мы как раз это обсуждали и я давал ответы.
Кот ДаWINчи вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 26.03.2010, 16:33   #12
ANTOMA
Новичок
 
Регистрация: 07.03.2010
Сообщений: 11
Сказал(а) спасибо: 126
Поблагодарили 0 раз(а) в 0 сообщениях
ANTOMA На верном пути
По умолчанию

методы инъекции не нужны, кроме уже имеющихся горе-Хацкеров, нехватало еще мЕГА-хацкеров, а вот по методам лечения были бы признательны....
ANTOMA вне форума   Ответить с цитированием
Старый 30.03.2010, 14:18   #13
Chestarfild
Пользователь
 
Аватар для Chestarfild
 
Регистрация: 06.03.2010
Адрес: Россия->Цимлянск
Сообщений: 49
Сказал(а) спасибо: 34
Поблагодарили 4 раз(а) в 4 сообщениях
Chestarfild На верном пути
По умолчанию

Пару советов:
  • Лучше используйте библиотеку DbSimple вместо стандартных функций php. В ней кое-какая защита от инъекций (если конечно правильно применять плейсхолдеры)
  • Старайтесь как можно меньше данных принимать извне, и старайтесь принимать только числовые значения. Их удобно проверять функцией is_numeric()
  • Для работы с инклудами файлов удобнее использовать что-то такое:
    Код:
    switch(@$_GET['do'])
    {
            case "index": include_once("index"); break;
            case "page":  include_once("page"); break;
            default:        include_once("index"); break;
    }
    Такой код более менее стойкий к php инъекциям.
__________________
Богатство языка определяет широту его мысли
Chestarfild вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
StinK (31.03.2010)
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Текущее время: 10:01. Часовой пояс GMT +3.


ru-mangos.ru - Русское сообщество MaNGOS
Главная цель проекта MaNGOS - обучающая, поэтому разрешается использовать исходный код и собранную программу только для образовательных целей.
Вы не можете использовать MaNGOS в коммерческих целях, а также не разрешается устанавливать публичные серверы на базе MaNGOS.
Любое копирование материалов, информации в любом виде без указания источника - форума Ru-MaNGOS будет считаться нарушением авторских прав и нарушением Уголовного Кодекса РФ, ст. 146 ст. 147.
Перевод vBulletin: zCarot