Если нет возможности взломать через SQL - инекции, то как ещё?

Главная страница

Создание сайтов

Блог Кузнецова М.В.

Статьи о PHP

PHP-скрипты

Статьи об Apache

Форум С++

Консультации

Форум "Про Жизнь"

Форум:	Форум PHP	Форум Apache	Форум Регулярные Выражения	Форум MySQL	HTML+CSS+JavaScript	Форум Flash	Разное
Новые темы:	0	0	0	0	0	0	0

Здравствуйте, Посетитель!

вид форума:

тема: Если нет возможности взломать через SQL - инекции, то как ещё?

следующая тема

предыдущая тема

	автор: evgen_17 (26.02.2005 в 01:16) письмо автору
	Вопрос таков. Как не имея возможность использовать SQL - инекции взломать скрипт, ну допустим авторизации? И вообще что это жаст злоумышленнику, если на всём сайте действует единая система прав?

	автор: Artem S. (26.02.2005 в 03:29) письмо автору
	для: evgen_17 (26.02.2005 в 01:16)
	Тут нужно изучать сам код. Скажем, возможно, получить hash пароля и вставить его в cookie's и спокойно бродить по админке... Также может быть, возможно, получить пароль к базе (и попробовать его к FTP) Способы есть и далеко не все упирается в SQL инъекции...

	автор: evgen_17 (26.02.2005 в 03:52) письмо автору
	для: Artem S. (26.02.2005 в 03:29)
	>Скажем, возможно, получить hash пароля и вставить его в >cookie's и спокойно бродить по админке... А вы можете посоветовать какой-нибудь способ защиты от таких действий?

	автор: Artem S. (26.02.2005 в 08:24) письмо автору
	для: evgen_17 (26.02.2005 в 03:52)
	Самое банальное - не хранить в cookies ничего... но это не всегда возможно. Универсальных рецептов нет - все приходит со временем.

	автор: XPraptor (26.02.2005 в 16:14) письмо автору
	для: evgen_17 (26.02.2005 в 01:16)
	Я тебе в твоей же теме "Дыры... модификация" написал про возможности скриптовых атак и инъекций. Почитай там. А вот на твой вопрос про что даст - скажу: Вот к примеру не нравится мне твой сайт, ну и если у тебя гдето выводятся данные, которые я передал в базу (например мыло, адрес там или еще что) то я, заслав вместо этих данных тебе в базу свой скрипт, тем самым нарушаюцелостность твоего сайта. А могу просто что нибудь нехорошее про тебя и твой сайт написать, и тогда каждый входящий на страницу, где есть мои данные будет тут же скриптом оповещен о том, что я о тебе думаю. Делай выводы сам хорошо это или плохо.

	автор: Sin (26.02.2005 в 20:45) письмо автору
	для: XPraptor (26.02.2005 в 16:14)
	Гы люди... Это самое простейшее.... Не быть вам хакерами :) PS И не надо... Но не получится хорошей защиты если не знаешь как ломать :)

	автор: evgen_17 (26.02.2005 в 21:44) письмо автору
	для: Sin (26.02.2005 в 20:45)
	А есть ли какая-нибудь зависимость? Например, если взломаль гостевуху, то как это отразится на работе сайта в целом? Кстате, в теме "Дыры...Модификация" написано очень мало, а перебирать все 1444 темы на всем PHP форуме не благоразумно. Может всётаки стоит хотябы сказать примерное название тем, в которых обсуждались подлбные впросы?

	автор: Atom (26.02.2005 в 23:04) письмо автору
	для: evgen_17 (26.02.2005 в 21:44)
	- Например, если взломаль гостевуху, то как это отразится на работе сайта в целом? - Смотря как взломать. Если шелл удастся залить, то можно и весь сайт взломать, а порой и хостинг, если хостер тупой попадается.

	автор: cheops (27.02.2005 в 12:06) письмо автору
	для: evgen_17 (26.02.2005 в 21:44)
	В первую очередь следует почитать статьи по безопасности в разделе "Статьи по PHP", где описываются способы взлома и приёмы противодействия им: http://www.softtime.ru/info/articlephp.php?id_article=35 http://www.softtime.ru/info/articlephp.php?id_article=36 Проблемы безопасности обсуждались так же в следующих темах: http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=391 http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=1938 http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=1923 http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=1720 http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=1268 http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=128