LINUX.ORG.RU

Ответ на: комментарий от Deleted

Ну я видел например рекламу какой-то, которая SQL Injection'ы отлавливает. Думаю и другие подобные есть?

suser
() автор топика

/dev/hands - бесплатно, но нужно уметь пользоватся.

Стандартные скрипты && директории && ошибки конфигурации апача можно искать nessus, но ПОЛНОЦЕННЫЙ security scanner для активного содержимого написать НЕВОЗМОЖНО - из этого и исходите. Простейший сканер можете написать сами - `grep -Rf ...` и в файлик все вызовы mail*, system и прочих опасных вещей. После запуска - сильно думать вокруг выданных строчек.

nblx
()
Ответ на: комментарий от nblx

Ну почему, можно как минимум на страничках перебором искать места, где используются GET/POST параметры и пытаться туда всякую фигню напихать.

suser
() автор топика
Ответ на: комментарий от nblx

Да и вообще, даже исходники ядра автоматическими тестами прогоняют.

suser
() автор топика
Ответ на: комментарий от suser

> Ну почему, можно как минимум на страничках перебором искать места, где используются GET/POST параметры и пытаться туда всякую фигню напихать.

Вы пытаетесь испортить или починить? :-)

nblx
()
Ответ на: комментарий от suser

> Я пытаюсь найти то, что нужно чинить. :)

Метод я описал. grep и смотрите на то, как у вас получаются передаваемые параметры.

nblx
()
Ответ на: комментарий от suser

> В чужом коде копаться руками не охота

Значит вы никогда не будете уверенны что в коде всё ОК. Никакая программа никогда не сможет угадать насколько сильно затупил PHP-кодер в конкретном месте.

Как вариант для личного успокоения - сделайте единую обработку принимаемых переменных на тему соответствия ожидаемому. Срезайте HTML-тэги в принимаемом (если нельзя все - только опасные). Режте непечатные символы, нечётное количество кавычек, точки со слешами и т.п.

Только без ручного анализа кода всеравно нельзя будет сказать что это безопасно. :-)

nblx
()
Ответ на: комментарий от suser

Если уже действительно нужно что-то чинить, то сначала нужно смотреть всякие access/cache_access logs :)

Valmont ★★★
()
Ответ на: комментарий от nblx

>/dev/hands - бесплатно, но нужно уметь пользоватся.

Без нормальной поддержки /dev/brain, /dev/hands только вредит =)

ManJak ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.