| |
|
|
| | Возможно ли для поиска и эксплуатации уязвимости автоматически генерировать GET-запросы с различными параметрами? | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 00:50)
| | | достаточно знать уязвимости и фильтровать запросы. | |
| |
|
|
| |
|
|
| |
для: morkovkin
(24.11.2007 в 00:53)
| | | Я понимаю, но ведь наверное можно как-то это автоматизировать, а не вручную забивать параметры? | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 00:58)
| | | Что значит автоматизировать? Под каждый случай нужна своя защита. Можно написать более-менее универсальную защиту, но она будет громоздкая и большинство функций будут использоваться, но они не будут нужны в данном случае, а некий процент понижения скорости скрипта появляется.
Хотя не знаток, но лично я под разные запросы пишу разные защиты.. естественно, в меру своих знаний и способностей)) | |
| |
|
|
| |
|
|
| |
для: morkovkin
(24.11.2007 в 01:02)
| | | Как работают сканеры уязвимостей Sql-inj? Они автоматически перебирают и подставляют в строку запроса различные символы. Возможно ли это реализовать на PHP? | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 01:14)
| | | Уже боюсь отвечать, пусть Вам Unkind отвечает, а то опять подложу "утку"...)) | |
| |
|
|
| |
|
|
| |
для: morkovkin
(24.11.2007 в 01:15)
| | | Да ладно! Бросте вы! | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 01:19)
| | | Да не, просто если Вам для диплома, то я лучше помолчу, тут есть бОльшие спецы ;)
В инекциях не оч силён, многих тонкостей не знаю :) | |
| |
|
|
| |
|
|
| |
для: morkovkin
(24.11.2007 в 01:24)
| | | Давно работаете с Web? | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 01:29)
| | | Я не работаю в веб, это моё хобби, когда есть время. А так начал увлекаться в 2001 году, потом забросил, потом опять месяцок посидел, потом опять забросил и т.д... К сожалению, не хватает времени заниматься этим профессионально... Да и никогда не стремился чего-то выучить.. только если сталкивался с проблемой, то решал её.. потом понимал, что решил её не правильно перерешивал и так до бесконечности :) | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 00:50)
| | | >Возможно ли для поиска и эксплуатации уязвимости автоматически генерировать GET-запросы
>с различными параметрами?
В общем да, можно создать ПО, которое будет вычислять структуру таблицы - однако как эксплуатировать дыру определяет злоумышленик. В книге М. Низамутдинова Тактика защиты и нападения на Web-приложения описывается алгоритм такого поиска. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.11.2007 в 11:45)
| | | Я читал книгу Низамутдинова. Очень понятно и полно написано, но всё приходится делать вручную. Можно ведь наверное автоматизировать? | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 20:37)
| | | Можно, но если автоматический поиск дыр, ещё можно назвать средством защиты, то автоматическое восстановление структуры таблицы под это определение уже никак не поподает. А создание инструментария предназначенного только для нападения не этично. | |
| |
|
|
| |
|
|
| |
для: ZHUR
(24.11.2007 в 00:50)
| | | знаете сталкивался с такой вещью как Xpider
Но сразу говорю у меня его нет | |
| |
|
|
