Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Разное

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Как реально взломать сайт?
 
 автор: Владимир55   (17.10.2010 в 21:21)   письмо автору
 
 

Посмотрел в сети некоторую литературу по взлому, даже прошел «Курс молодого бойца», но так ничего и не понял.

Через форму ввода можно запихнуть скрипт, но этот канал легко перекрывается соответствующим РНР-оператором в обработчике.

SQL-инъекции, на мой взгляд, тоже вполне возможно исключить, если только при написании программы пожелать учесть эту опасность.

Что ещё? Кража паролей – это уже не взлом, а именно кража.

   
 
 автор: Красная_шляпа   (18.10.2010 в 01:07)   письмо автору
 
   для: Владимир55   (17.10.2010 в 21:21)
 

чтобы что-то взломать нужно по практиковаться в программировании.
владимир вы писали про ваши патенты можно узнать что вы изобрели и чем сейчас занимаетесь?

   
 
 автор: Владимир55   (18.10.2010 в 12:28)   письмо автору
 
   для: Красная_шляпа   (18.10.2010 в 01:07)
 

Сейчас я занимаюсь поведенческой психологией (в интернет), юзабилити и рекламой.

   
 
 автор: Красная_шляпа   (18.10.2010 в 17:36)   письмо автору
 
   для: Владимир55   (18.10.2010 в 12:28)
 

причинами взлома могут послужить: недостаточная фильтрация данных, получаемых от пользователя, как результат - xss(кража куки, либо выполнение каких либо действий, например автоматическое добавление и т.д.), sql и php инъекции, иногда забывают проверять данные получаемы с помощью AJAX, т.е. опять же фильтрация; логические ошибки, как тут на форуме, когда любой желающий мог отредактировать непонравившееся ему сообщение; баги ПО; на некоторых сайтах например в адр. строке передаётся SID, его кража с помощью обычного сниффера даёт возможность завладеть аккаунтом. Тут главное знать правило чем крупнее проект, тем больше вероятность найти уязвимость - даже машины делают ошибки, а человек подавно. Это чисто программерские способы взлома, а ещё есть социальная инженерия(узнаём девичью фамилию жертвы и взламываем её ящик, а там чего только нет), , очень часто люди имеют одинаковые пароли на почтовых ящиках, аккаунтах на форумах, билингах и т.д.. Алсо есть метод тыка подбор пароля начинаем с qwerty и т.д., либо дата рождения ДДММГГГГ или ДДММГГ.

   
 
 автор: Владимир55   (18.10.2010 в 18:11)   письмо автору
 
   для: Красная_шляпа   (18.10.2010 в 17:36)
 

Спасибо.

   
 
 автор: mihdan   (18.10.2010 в 11:12)   письмо автору
 
   для: Владимир55   (17.10.2010 в 21:21)
 

[поправлено модератором]

   
 
 автор: Loki   (18.10.2010 в 11:24)   письмо автору
 
   для: Владимир55   (17.10.2010 в 21:21)
 

Ну, собственно, если на сайте всего одна форма, то его и защищать несложно. Если же сайт достаточно велик, принимается много пользовательских данных, их надо обрабатывать, хранить и отображать, то вероятность что-то не учесть растет очень сильно.

   
 
 автор: Владимир55   (18.10.2010 в 12:25)   письмо автору
 
   для: Loki   (18.10.2010 в 11:24)
 

вероятность что-то не учесть растет очень сильно

А, вот в чем дело!

То есть, если сайт собран вручную без использования движка, не использует базы данных и не содержит форм ввода, то он абсолютно неуязвим?

А если в нём много форм ввода, но ни одну из них не забыли защитить в обработчике, то он по-прежнему неуязвим?

А если в нём есть база данных, но каждый запрос проверяется на предмет допустимости параметров, то и в этом случае сайт неуязвим?

И лишь когда программист где-то что-то забыл, то только в этом случае появляется уязвимость?

Так?

   
 
 автор: psychomc   (18.10.2010 в 13:05)   письмо автору
 
   для: Владимир55   (18.10.2010 в 12:25)
 

вообще-то есть еще моменты не зависящие ни от движка, ни от программиста -http://ru.wikipedia.org/wiki/DDoS

   
 
 автор: Владимир55   (18.10.2010 в 13:23)   письмо автору
 
   для: psychomc   (18.10.2010 в 13:05)
 

Понятно.

   
 
 автор: Loki   (18.10.2010 в 13:19)   письмо автору
 
   для: Владимир55   (18.10.2010 в 12:25)
 

Ну в общем-то да: уязвимость - это ошибка программиста. Причем, не обязательно программиста самого веб приложения - ошибка может быть где-то в "обвязке". Например, в том же апаче. Но эти ошибки, по понятным причинам, активно исправляются. Так что если у вас собственный сервер, грамотный сисадмин, толковый программист и софт со всеми обновлениями то вероятность быть взломанным очень мала.

   
 
 автор: Владимир55   (18.10.2010 в 13:25)   письмо автору
 
   для: Loki   (18.10.2010 в 13:19)
 

В свое время я видел в сети программу, позволяющую протестировать сайт на уязвимость. Платная, но не дорогая русскоязычная программа (или сервис, не помню уже).

К сожалению, ссылка не сохранилась.

Может, Вам известно что-то подобное?

   
 
 автор: Loki   (18.10.2010 в 13:34)   письмо автору
 
   для: Владимир55   (18.10.2010 в 13:25)
 

xspider
Не панацея, но на грубые ошибки может указать.

   
 
 автор: Владимир55   (18.10.2010 в 15:16)   письмо автору
 
   для: Loki   (18.10.2010 в 13:34)
 

Похоже, что как раз этот сервис я и имел виду.

Спасибо!

   
 
 автор: Gubichev   (18.10.2010 в 14:30)   письмо автору
 
   для: Loki   (18.10.2010 в 13:19)
 

Люди Пентагон взламывают, а вы говорите про очень маленькую вероятность. Если только по причине отсутствия интереса к взламыванию какого-то сайта, то да, вероятность мала.

   
 
 автор: Loki   (18.10.2010 в 16:08)   письмо автору
 
   для: Gubichev   (18.10.2010 в 14:30)
 

Так и что теперь, грамотный код писать необязательно?
Не надо говорить фигню, тем более с таким апломбом!

   
 
 автор: Gubichev   (18.10.2010 в 16:32)   письмо автору
 
   для: Loki   (18.10.2010 в 16:08)
 

Я разве про код что-то написал?

   
 
 автор: Drolief   (14.11.2018 в 12:15)   письмо автору
 
   для: Gubichev   (18.10.2010 в 16:32)
 

Нынче хакеры могут все взломать и защиты на них просто нет

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования