|
| |
|
|
| |
для: cheops
(12.10.2004 в 20:59)
| | | Демонстрацией дыры третьего типа может служить брешь, найденная на этом форуме s1271tvg, позволяющая отвечать в закрытых темах, указывая в URL id_post сообщения, на который необходимо ответить, а вместо id_theme закрытой темы id_theme любой открытой.
Чем сложнее будет Web-приложение, и чем больше будет в нём ограничений и условий, тем больше таких дыр будет оставаться незамеченными.
http://www.softtime.ru/forum/read.php?id_forum=3&id_theme=476&page=1 | |
| |
|
|
| |
|
|
| |
для: Адоп Акробат
(13.10.2004 в 02:32)
| | | Попытаюсь рассказать вкратце.
Книга называется "PHP 5. Разработка многофункционального Web-сайта". Это логическое продолжение нашей первой книги, поэтому то, что было в первой книге во второй не повторяется, т.е. эта книга подразумевает некоторое знакомство с языком PHP. Выходить она будет в серии "Профессиональное программирование". Объем - около 1000 стр., состоит из 5 частей. Половина книги (2 части) посвящена разработке программных блоков "корпоративного" Web-сайта. Рассматривается разработка каталога продукции, системы администрирования контента, системы рассылки и т.д. В общем - практически всего, что можно придумать на серьезном Web-сайте. Отдельная часть книги посвящена разработке форума. Первая часть - как-бы вводная и в ней подробно рассматриваются различные вопросы: работа с MySQL, вопросы безопасности, всякие "тонкие" штучки (одна глава так и называется "Тонкости" PHP"), работа с HTTP-заголовками. А в 5 части рассматриваются расширения PHP: библиотека для работы с графикой GD, библиотека Ming для работы с Flash и библиотека для работы с PDF-документами. Вот если вкратце, то так. | |
| |
|
|
| |
|
|
| |
для: Адоп Акробат
(13.10.2004 в 02:32)
| | | Так все про то же. Про PHP :) | |
| |
|
|
| |
|
|
| |
для: Dimonti
(12.10.2004 в 21:26)
| | | Сами ждем :) Материалы направлены в редакцию - сейчас будет этап корректуры, и с момента ее окончания где-то полтора месяца до выхода книги. Т.е. получается конец декабря - январь. А так как в январе полмесяца все празднуют новый год, то, вероятнее всего, в конце января. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(12.10.2004 в 21:38)
| | | Я может пропстил а очом будет книга? | |
| |
|
|
| |
|
|
| |
для: Dimonti
(12.10.2004 в 21:26)
| | | Скорее всего в декабре. | |
| |
|
|
| |
|
|
| |
для: cheops
(12.10.2004 в 20:59)
| | | Спасибо за дружеский совет.
P.S. Когда, наконец, выйдет Ваша книга? | |
| |
|
|
| |
|
|
| |
для: Dimonti
(12.10.2004 в 20:38)
| | | Сервер будет скорее всего очень здорово защищён хост-компанией (вы за это и платите деньги, чтобы не думать о дырах в серверном ПО), а формализовать дыры Web-сайта достаточно сложно, если честно даже не представляю как можно написать такое ПО... Обычно перед пуском сайта приглашают людей с богатым воображением, которые пытаются ломать сайт и сразу сообщают обо всех найденных недостатках - полностью от дыр избавиться нельзя - их следует локализовывать во время эксплуатации, при этом желательно самому быть активным посетителем своемго сайта - вероятность найти дыру резко возрастает. Особенно следует уделять внимание всем действиям пользователей:
1) ввод текста в поля формы;
2) загрузка посетителем файлов - это следует контролировать очень жёстко, так как если посетитель протащит на сайт PHP или Perl-скрипт - сделать он сможет всё что угодно, от воровства паролей, до полного уничтожения виртуального хоста.
3) URL - не приводит ли подстановка неожиданных значений в параметрах URL к каким-то неадекватным действиям.
PS Следует дружелюбно относится к своим посетителям - они отплатят добром и сообщат о найденых недочётах в безопасности. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(09.10.2004 в 21:02)
| | | Я хочу защитить свой сайт на внешнем хостинге.
Каких то там секретных данных у меня нет, но неприятно будет, если какой нибуть весельчак будет строить разные подлянки.
Про дырки, а на чём можно потестировать на предмет этих самых дыр? | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(10.10.2004 в 09:55)
| | | Окей больше такое не повторица | |
| |
|
|
|
