Search in topic
Яндекс - все нашел.

leprud
Musgravehill:

А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.

вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…

Часто студенты или школьники делают сайты, еще частенько сайт делается “внутренними силами”, обычно не компьютерными специалистами…

6wings:

чего надо опасаться и чего блокировать

стоит помнить простую вещь: взломать можно все, вопрос стоит лишь в оправданности затраченных ресурсов на это дело…
С позиции админа - везде включить шифрование и авторизацию, где не надо - отключить.

вот с позиции программиста несколько хуже, там слишком много нюансов есть

6wings

хорошо, я детализирую свою позицию - я сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
Чего надо избегать и чего бояться?

Musgravehill
6wings:

чего надо опасаться и чего блокировать

Я сам любитель. Но знаю точно, что проверку введенных данных нужно делать на серверной стороне! А всякие JS-валидации в браузере, всплывающие памятки “емайл должен содержать собачку и не иметь кавычек” - только рюшечка для пользователя, но никак не баръер.

Для валидации данных на серверной стороне желательно использовать специальный класс и прогонять через его методы все принятые параметры. Результат проверки можно отправить обратно в браузер аяксом.

Или хотя бы использовать регулярные выражения. Если это номер чего-то, то только цифры \d{длина от, до}. Кавычки комментировать, заменять на &laquo и &raquo, например.

И легендарный robots.txt: disallow все служебные страницы с масками.

Не генерировать уникальные ссылки с get-параметрами, которые всегда отдают служебную информацию любому перешедшему по ним без авторизации. Пишут всякие token, hash, code, sid. Мне пока хватает короткоживущих кукисов, но это по-молодости.

leprud:

вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…

Пожалуйста, не пишите! Особенно, если это достойный сайт. Лучше их админу пришлите в копилку багов.

Hight

6wings
ах, как тонко 😉

о! чисто как админ, включите magic_quotes

6wings
Hight:

ах, как тонко

я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?

lurii
6wings:

сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).

удел дизайнера - фотошоп.

6wings:

Чего надо избегать и чего бояться?

избегать: register_globals=on
бояться: sql-injection

Hight

я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?

так это, чистА из зависти юзверя обычного виртуального хостинга.

t-bird
6wings:

…я сейчас делаю несколько собственных сайтов <…>как веб-дизайнер…

дайте глянуть?

6wings

так это, чиста из зависти юзверя обычного виртуального хостинга

ну, хотите, я Вас похостю?

дайте глянуть?

Вам? - Никогда.
У нас с Вами эстетическое недопонимание друг друга.
Причем, поскольку я старше и гораздо матерее Вас, то есть основания полагать, что Вы недопонимаете меня, а не наоборот.

Hight

Спасибо, но где счастье то, как говорится “Полагаясь на меньшее, стремиться к большему”.
А вобще, у Хетцнера, серваки то - особо не пожалуешся…

6wings
t-bird:

дайте глянуть?

мне, вообще, давно было интересно - что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?

t-bird
6wings:

У нас с Вами эстетическое недопонимание друг друга

полное отсутствие визуальной культуры (а как следствие и визуального вкуса) - не порок. просто живите с этим. подавляющее большинство населения земного шара живет и не заморачивается этим абсолютно. я вот в музыке ни пса не понимаю… нравится/не нравится - вот и все критерии… однако, обладая необходимым для написания музыки багажом теоретических знаний, и конечно, аппаратной частью, даже не берусь этого делать (хотя зудит в пальцах бывает) ибо понимаю - выйдет смешно и криво.

6wings:

что обозначает буква Т в Вашем нике? Наверное, “транссекшл”?

ну все просто: это общепринятое сокращение от *thunderbird* - ford thunderbird - машины, на которой мне было счастье ездить 7 лет - лучше машины этой у меня не было и не будет никогда уже 😉 в 96 году подогнала братва за долги одного комерса, с пробегом в 500 миль 😉

пы.сы. я на личности не переходил, просто глянуть хотелось, оставьте ваши ночные фантазии при себе

QwErT1999

Неуязвим сайт почтовиков, там поля вывода зашиты. Blind-inj тоже не проходит.
PS: Советую ставить фильтры запроса (удалять '), защититься от PHP-inj и если форум на vBulletin, то обновиться с версии 3.8.6, ибо она засчет дырки в поиске.
PPS: kyosho.com гляньте. Поля вывода открыты, пароль админа незашифрован. Взломал с легкостью.

t-bird
QwErT1999:

kyosho.com <…> Взломал с легкостью.

святое не трожте!

QwErT1999
t-bird:

святое не трожте!

Блин, я-жеж не сливаю оттуда iframe трафф, не меняю содержание сайта. Я просто взламываю, смотрю и все. Кому надо - готов сбросить логин/пасс админа.

ВитГо

Эхх… Антон, Антон, в УК РФ составом является сам факт взлома… а меняли вы чтото или нет - это уже идет как ущерб…

так что осторожнее с такими заявлениями и тем более с передачей логина\пасврорда админа - это будет подтверждать взлом… и взять могут достаточно быстро (при попадании возжи в определенное место нашим доблестным полицейским)…

поверьте, прецеденты есть… 😦
например в моем городе из последнего orinfo.ru/…/osuzhdena-khakersha-za-vzlom-odnoklass…
а вот из более серьездного www.xakep.ru/post/21054/default.asp?page=1

заметьте - никто разбираться в помыслах не будет… состав статьи УК незаконное получение доступа… и это все… а наступили последствия или нет… - это уже не важно… как впрочем не важно - получили вы доступ по хорошему (чтобы предупредить) или по плохому (просто посмотреть)…

в обоих случаях люди отделались вроде бы по минимуму… за исключением того что имея судимость с минимальным наказанием в виде штрафа - вы банально не сможете ни устроиться на какую нить более менее серьездную работу, ни даже взять кредит в банке… тот же Виталий Бородин одно время работал в банке, потом банк закрылся переконтовывался в одной организации (где и взломал и был пойман) - в банки больше не вернеться никогда 😦(( вопрос - нафига нужно было взламывать чтобы после уг. дела и суда - не иметь возможности хорошо устроиться и неплохо и главное гарантированно зарабатывать ? вот такая вот штука жизнь…

так что осторожнее… и не афишируйте если уж продолжаете этим заниматься…

V_Alex
ВитГо:

Эхх… Антон, Антон, в УК РФ составом является сам факт взлома… а меняли вы чтото или нет - это уже идет как ущерб…

Вы на возраст посмотрите. Он еще лет пять “неприкасаемый” для УК. А если эти годы не потратит даром, то к 16-и вполне сможет “подправить” свое “Дело” несанкционированным пуском “Томагавка” с какого-нибудь эсминца НАТО в Средиземном Море, на время отключив систему ПВО 😃.

Hight

ВитГо
а кстати, давно хотел у просвещенного спросить.
Если компании не нанесено никакого ущерба,
а) Какой компании смысл заниматься иском, это ведет к издержкам?
б) Как “по закону” доказать факт взлома? Ведь серверные логи не могут быть док-вом, а провайдеры врятли снифферят столько трафика. Более того, существуют простейшие трояны-прокси, пиратские врезки в сеть и тп.
в) Например, мой серв. взломали, на руках имею логи апача, куда мне пойти чтобы наказать?

ВитГо
V_Alex:

Вы на возраст посмотрите. Он еще лет пять “неприкасаемый” для УК. А если эти годы не потратит даром, то к 16-и вполне сможет “подправить” свое “Дело” несанкционированным пуском “Томагавка” с какого-нибудь эсминца НАТО в Средиземном Море, на время отключив систему ПВО 😃.

возраст на форуме не показатель…

ну и опять таки - попасть под какой нить оперативный материал может любой человек (даже ребенок)… и как потом это вылезет через 5 лет вряд ли вы сможете с прогнозировать…

я давно заметил что так называемые “хаккеры” на самом деле зачастую простые “apply’каторы” - никто особо ничего не пишет, а только применяют появившиеся нюки, да описания с профильных сайтов что и как можно взломать…

реально людей способных написать даже простейший вирус очень не много (зачастую по пальцам пересчитать)… - как не крути скачать какую нить подбиралку паролей и запустить ее на нескольких компах и потом напакостить меньше требует ума и соображалки… в лучшем случае эти люди способны написать какой нить алгоритм пузырьковой сортировки по лекции с универа… в худшем у них на компе нет ни одной IDE или даже какого нить транслятора бейсика… зато куча всяких программ для взлома скачанных с инета 😃

поэтому у нас и много так называемых хаккеров… в том числе 11 лет отроду…
начинают ради прикола и игры, и попадаются на всякой фигне… а потом начинают писать что их государство незаконно осудило…

так что ко всяким хакерам я отношусь более чем спокойно… их отлавливают регулярно… шьют статью УК, штрафуют и отпускают на свободу… а вот лет в 27-30 когда придёт им мысль о квартире или машине и они придут в банк (в любой) - и им откажут без объяснения причин - мне их действительно будет жалко… как жалко тех кто по глупости в 21 год взял в евросети телефон в кредит году так в 2007 и потом не стал платить и радовался что “самый умный”… сейчас приходят за кредитами уже будучи в браке (причем иногда в роли “всего лишь навсего” созаемщика или поручителя) - и их всех вместе бреют… вот тут то вопрос и назревает - а нужен ли так был тогда телефон в кредит ?!

P.s. интересно было бы взглянуть хоть на один проект уважаемого “хакера”…

p.p.s. кстати желающим по критиковать - мой веб проект (правда уже давно заброшен) http://www.orensoft.ru. это проект 2003 года… тогда писал на jsp (эхх… многое бы уже переписал… но актуальность прошла)

Hight:

ВитГо
а кстати, давно хотел у просвещенного спросить.
Если компании не нанесено никакого ущерба,
а) Какой компании смысл заниматься иском, это ведет к издержкам?
б) Как “по закону” доказать факт взлома? Ведь серверные логи не могут быть док-вом, а провайдеры врятли снифферят столько трафика. Более того, существуют простейшие трояны-прокси, пиратские врезки в сеть и тп.
в) Например, мой серв. взломали, на руках имею логи апача, куда мне пойти чтобы наказать?

Ущерб понятие относительное… зачастую наказав одного и раструбив - у многих желание повторить “подвиг” пропадает, а вот если промолчать - то так и будешь отлавливать то одну дыру то другую и латать то что напартачили

по поводу доказательств фактов взлома - не думайте что везде сидят профаны… спецы в отделах “К” уже давно не мальчики и многие там не только протирают штаны…

факт взлома фактически доказывается просто фактом нахождением файлов которые были копированы с закрытых областей сервера, логами, в том числе провайдера… как правило первый взлом проходит на ура… а вот при последующих попытках уже и накрывают - продвигаясь шаг за шагом…

или вы думаете что всякие анонимосы на самом деле были такие крутые ? - как показывают последние новости - скорее они просто были в роли “неуловимого Джо” (которого никто не ловил потому что он нахрен небыл никому нужен") - а как только начали разевать роток на что то более серьездное (лень смотреть куда они там полезли то ли в пентагон то ли в цру) - всех взяли за неделю…

по поводу куда идти - в милицию… тьфу, полицию… там вас направят в отдел “К”… и там общайтесь, предлагайте мысли как можно вычислить тех кто взломал, а уж сотрудники отдела имеют более чем достойный административный ресурс чтобы узнать то что не узнаете вы…

ну и для гурманов вот текст статьи УК

Статья 272. Неправомерный доступ к компьютерной информации

  1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо лишением свободы на срок до двух лет.

  1. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо исправительными работами на срок до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

еще раз прошу обратить внимание - в диспозиции статьи нет материального ущерба !! преступлением является факт получения незаконного доступа ! все остальное “блокирование, копирование” и т.д. - это фактически доказательство со слов… потерпевший всегда может сказать что сервер повис… и можно всегда найти свидетелей что сервер был не доступен… ну а если “народный умелец” чтото изменил - так пожалуйста в диспозиции есть “модификация”…

Hight

если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

интерепретируемый скрипт попадает под определение ЭВМ? (кажется понял, в ст. речь про информацию)
и все таки, доказать мне кажется очень сложно. Например, копированную информацию ещё найти надо, а модификацию и пр. можно делать через левый инет

Видно не зря, в новостях все студентов ловят.

ВитГо

подпадает…
доказать что либо всегда сложно… мы ведь наверняка так и не доказали проявившемуся хаккеру что не стоит этим заниматься 😃))

копируют информацию обычно на тот же комп с которого взламывают… кому то хватает ума использовать анонимные прокси… кому то нет… опять таки не все анонимные прокси на самом деле анонимные 😃))
опять таки - хак без возможности потом похвалиться - это не хак… так что если пошарить по сайтам всегда можно найти тех кто пишет что мол я взломал то-то и то-то… и эти люди обычно на эти форумы забывают приходить через проксю… в общем еще куча способов есть не хочу вам все раскрывать 😃 (как там у классиков - язык мой - враг мой ! 😃))

а студентов ловят - потому что как я и писал это не хакеры а “апликаторы” - скачали очередной нюк и давай его применять ко всему что под руку попадется… как правило этот нюк и срабатывает на произведении другого студента который просто не заморачивался особо защитой от взлома… либо на том кто положил болт на все инструкции (как в примере про Автовазбанк в Оренбург)
плюс еще язык, плюс еще необходимость вывесить что нить на сайте что мол взломана… ну а если еще и файлик картинку на сервер залить и на главной странице вывесить - так без этого вообще никак… (ну ладно, уговорили, еще одна подсказка -файл картинку нарисовать нужно, да наверняка еще есть несколько вариантов на вашем компе, да еще файл фотошопа со слоями (чтобы регарды добавлять на картинку) - вот вам и доказательство доступа и модификации (ведь залили на сервер файл - это тоже модификация!) и так далее и тому подобное)
не нужно думать что вокруг одни дураки… просто о взломах не часто заявляют… а те что заявляют очень часто раскрывают (особенно если взлом повторяется)