Яндекс - все нашел.
там вроде уже секретные и дсп документы прояндексированные нашлись. ке-ке-ке. то ли еще будет.
Самое занятное, что все эти смс, заказы в инет магазинах и прочее - довольно давно известны широкому кругу лиц, умеющих пользоваться “расширенным” поиском гугла, да имеющих хоть немного фантазии.
Интересно, как скоро СМИ и прочие блоггеры узнают про примитивную sql injection, которой подвержены многие и многие сайты, в т.ч. и сайт почты россии?
узнают
Хотя бы allintitle: site: ))
примитивную sql injection
А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.
крутые вы, мужики… Аж оторопь берет.
Расскажите, плз, по-простому… простому дураку-админу, у которого есть свои серверы на, к примеру, 2003 + РНР + MySQL, чего надо опасаться и чего блокировать.
А то, уже запугали нафихваще непонятными словами.
ПАМАГИТЕ, плз.
А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.
вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…
Часто студенты или школьники делают сайты, еще частенько сайт делается “внутренними силами”, обычно не компьютерными специалистами…
чего надо опасаться и чего блокировать
стоит помнить простую вещь: взломать можно все, вопрос стоит лишь в оправданности затраченных ресурсов на это дело…
С позиции админа - везде включить шифрование и авторизацию, где не надо - отключить.
вот с позиции программиста несколько хуже, там слишком много нюансов есть
хорошо, я детализирую свою позицию - я сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
Чего надо избегать и чего бояться?
чего надо опасаться и чего блокировать
Я сам любитель. Но знаю точно, что проверку введенных данных нужно делать на серверной стороне! А всякие JS-валидации в браузере, всплывающие памятки “емайл должен содержать собачку и не иметь кавычек” - только рюшечка для пользователя, но никак не баръер.
Для валидации данных на серверной стороне желательно использовать специальный класс и прогонять через его методы все принятые параметры. Результат проверки можно отправить обратно в браузер аяксом.
Или хотя бы использовать регулярные выражения. Если это номер чего-то, то только цифры \d{длина от, до}. Кавычки комментировать, заменять на « и », например.
И легендарный robots.txt: disallow все служебные страницы с масками.
Не генерировать уникальные ссылки с get-параметрами, которые всегда отдают служебную информацию любому перешедшему по ним без авторизации. Пишут всякие token, hash, code, sid. Мне пока хватает короткоживущих кукисов, но это по-молодости.
вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…
Пожалуйста, не пишите! Особенно, если это достойный сайт. Лучше их админу пришлите в копилку багов.
6wings
ах, как тонко 😉
о! чисто как админ, включите magic_quotes
ах, как тонко
я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?
сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
удел дизайнера - фотошоп.
Чего надо избегать и чего бояться?
избегать: register_globals=on
бояться: sql-injection
я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?
так это, чистА из зависти юзверя обычного виртуального хостинга.
…я сейчас делаю несколько собственных сайтов <…>как веб-дизайнер…
дайте глянуть?
так это, чиста из зависти юзверя обычного виртуального хостинга
ну, хотите, я Вас похостю?
дайте глянуть?
Вам? - Никогда.
У нас с Вами эстетическое недопонимание друг друга.
Причем, поскольку я старше и гораздо матерее Вас, то есть основания полагать, что Вы недопонимаете меня, а не наоборот.
Спасибо, но где счастье то, как говорится “Полагаясь на меньшее, стремиться к большему”.
А вобще, у Хетцнера, серваки то - особо не пожалуешся…
дайте глянуть?
мне, вообще, давно было интересно - что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?
У нас с Вами эстетическое недопонимание друг друга
полное отсутствие визуальной культуры (а как следствие и визуального вкуса) - не порок. просто живите с этим. подавляющее большинство населения земного шара живет и не заморачивается этим абсолютно. я вот в музыке ни пса не понимаю… нравится/не нравится - вот и все критерии… однако, обладая необходимым для написания музыки багажом теоретических знаний, и конечно, аппаратной частью, даже не берусь этого делать (хотя зудит в пальцах бывает) ибо понимаю - выйдет смешно и криво.
что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?
ну все просто: это общепринятое сокращение от *thunderbird* - ford thunderbird - машины, на которой мне было счастье ездить 7 лет - лучше машины этой у меня не было и не будет никогда уже 😉 в 96 году подогнала братва за долги одного комерса, с пробегом в 500 миль 😉
пы.сы. я на личности не переходил, просто глянуть хотелось, оставьте ваши ночные фантазии при себе
Неуязвим сайт почтовиков, там поля вывода зашиты. Blind-inj тоже не проходит.
PS: Советую ставить фильтры запроса (удалять '), защититься от PHP-inj и если форум на vBulletin, то обновиться с версии 3.8.6, ибо она засчет дырки в поиске.
PPS: kyosho.com гляньте. Поля вывода открыты, пароль админа незашифрован. Взломал с легкостью.
kyosho.com <…> Взломал с легкостью.
святое не трожте!
святое не трожте!
Блин, я-жеж не сливаю оттуда iframe трафф, не меняю содержание сайта. Я просто взламываю, смотрю и все. Кому надо - готов сбросить логин/пасс админа.
Эхх… Антон, Антон, в УК РФ составом является сам факт взлома… а меняли вы чтото или нет - это уже идет как ущерб…
так что осторожнее с такими заявлениями и тем более с передачей логина\пасврорда админа - это будет подтверждать взлом… и взять могут достаточно быстро (при попадании возжи в определенное место нашим доблестным полицейским)…
поверьте, прецеденты есть… 😦
например в моем городе из последнего orinfo.ru/…/osuzhdena-khakersha-za-vzlom-odnoklass…
а вот из более серьездного www.xakep.ru/post/21054/default.asp?page=1
заметьте - никто разбираться в помыслах не будет… состав статьи УК незаконное получение доступа… и это все… а наступили последствия или нет… - это уже не важно… как впрочем не важно - получили вы доступ по хорошему (чтобы предупредить) или по плохому (просто посмотреть)…
в обоих случаях люди отделались вроде бы по минимуму… за исключением того что имея судимость с минимальным наказанием в виде штрафа - вы банально не сможете ни устроиться на какую нить более менее серьездную работу, ни даже взять кредит в банке… тот же Виталий Бородин одно время работал в банке, потом банк закрылся переконтовывался в одной организации (где и взломал и был пойман) - в банки больше не вернеться никогда 😦(( вопрос - нафига нужно было взламывать чтобы после уг. дела и суда - не иметь возможности хорошо устроиться и неплохо и главное гарантированно зарабатывать ? вот такая вот штука жизнь…
так что осторожнее… и не афишируйте если уж продолжаете этим заниматься…
Эхх… Антон, Антон, в УК РФ составом является сам факт взлома… а меняли вы чтото или нет - это уже идет как ущерб…
Вы на возраст посмотрите. Он еще лет пять “неприкасаемый” для УК. А если эти годы не потратит даром, то к 16-и вполне сможет “подправить” свое “Дело” несанкционированным пуском “Томагавка” с какого-нибудь эсминца НАТО в Средиземном Море, на время отключив систему ПВО 😃.