Autor: 80rac3k
Použité prohližeče
Použité operační systémy
Statistiky 80rac3k
- Napsal celkem 3 příspěvků
- Z toho neschválených 0 příspěvků
- Je tu s námi od 3.2.2007 So 14:46
- Takže je s námi už 1933 dní, tj. 276 týdnů a tj.69 měsíců
- Naposled se ozval 16.3.2007 Pá 16:35
- Zůčastnil se celkem 2 diskuzí
První a poslední komentář užvatele 80rac3k
No, já to zkusil na svůj web...spíš administraci, páč web mám řešený trochu jinak. Tak jsem přišel (možná) na další zabezpečovací metodu: Pokud ty data vkládáte ze souboru, tak všechny ty soubory nahrňtě do složky. Teď např. při pokusus s googlem php vyhodí chybu: Warning: require_once(pages/http://google.com.php) [function.require-once]: failed to open stream: No such file or directory in ... Ale samozřejmě se to nedá použít na stránky vkládáné z DB. Avšak nevím, zda nejde nějak zneužít používání proměnných v url...třeba www.neco.cz/a.php?id=20 Když se vloží nějaký kód místo "20" , tak by se to teoreticky dalo hacknout, ne?
No, tak musím povrdit, že tento článek je pravda. Skutečně jsem požádal o pokus hacknout tento web. Jinak už je to opravené, jak můžete sami vidět, když zkusíte zadat do url, co je napsáno výše v článku - už jsou znaky odfiltrované. Ještě bych rád vzpomenul, že po nějakém týdnu mi přišel e-mail o bezpečnostní chybě, která na webu je. Člověka, který mi o chybě napsal, neznám a o to více si vážím jeho solidnosti. Proto mu moc děkuji (kdyby na tuhle stránku náhodou narazil). Ještě pro autora těchto stránek: Omlouvám se, že jsem ještě neumístil odkaz, ale psal jsem, že to bude s novým designem, kde bude na ten odkaz více místa. Bohužel jsem neměl čas na designu zapracovat, páč mám dost jiné práce, ale s novým designem odkaz určitě umístím ;-)
80rac3k se zúčastnil těchto diskuzí…
- Zábava s XSS na e-zabava.net No, tak musím povrdit, že tento článek je pravda. Skutečně jsem požádal o pokus hacknout tento web. Jinak už je to opravené, jak můžete sami vidět, když zkusíte zadat do url, co je napsáno výše v článku - už jsou znaky odfiltrované.
- PHP injekce No, já to zkusil na svůj web...spíš administraci, páč web mám řešený trochu jinak. Tak jsem přišel (možná) na další zabezpečovací metodu: Pokud ty data vkládáte ze souboru, tak všechny ty soubory nahrňtě do složky.
Ještě bych rád vzpomenul, že po nějakém týdnu mi přišel e-mail o bezpečnostní chybě, která na webu je. Člověka, který mi o chybě napsal, neznám a o to více si vážím jeho solidnosti. Proto mu moc děkuji (kdyby na tuhle stránku náhodou narazil).
Ještě pro autora těchto stránek: Omlouvám se, že jsem ještě neumístil odkaz, ale psal jsem, že to bude s novým designem, kde bude na ten odkaz více místa. Bohužel jsem neměl čas na designu zapracovat, páč mám dost jiné práce, ale s novým designem odkaz určitě umístím ;-)
Teď např. při pokusus s googlem php vyhodí chybu:
Warning: require_once(pages/http://google.com.php) [function.require-once]: failed to open stream: No such file or directory in ...
Ale samozřejmě se to nedá použít na stránky vkládáné z DB.
Avšak nevím, zda nejde nějak zneužít používání proměnných v url...třeba www.neco.cz/a.php?id=20 Když se vloží nějaký kód místo "20" , tak by se to teoreticky dalo hacknout, ne?