LINUX.ORG.RU
ФорумTalks

Через что дефэйсят сайты ?


0

0

интересует примерная "статистика". если основной причиной является php, то классифицируйте тип php ошибки который приводит к уязвимости(или дефейсят через уязвимости самого php ?).

как ломаются servlet based сайты ? через другие порты ?


Ответ на: комментарий от lester_dev

поподробнее пожалуйста ... в каком месте эти руки кривы ? в месте апдейтов софта ?

zort
() автор топика
Ответ на: комментарий от Teak

Поправочка: пхп-кодеров и криворуких админов.

Rain ★★★★
()

примеры из личного опыта приведите кто-нибудь ...

zort
() автор топика
Ответ на: комментарий от ip1981

неее ребята XSS да, очень большая проблемма, но сайты дефейсят в основном изза PHP-Injection; SQL-Injection; или ***кого админа который не знает что нада дефаултные пароли менять, хотя нет через XSS (он же CSS) можно тоже добится больших успехов (тут всё зависет от админа).

djung ★★
()
Ответ на: комментарий от djung

Для CSS требуются исходники системы (популярные opensource-системы типа phpbb, phpnuke и прочая), а для иньекций - не обязательно. Вот и всё отличие, если не ошибаюсь...

AngryElf ★★★★★
()
Ответ на: комментарий от AngryElf

и не то ,да и не другое, конечно лудше когда есть исходники под рукой, но часто какраз они находятся методом тыка, так же и пхп-инклуд.

djung ★★
()

мдя, XSS, межсайтовый скриптинг упомянули... а как же SQL-Injection? или я пропустил и упоминалось уже? так вот, имхо основная причина таки - кривизна рук даже не админов, а разработчиков cgi- и php- скриптов, позволяющих этот самый SQL Injection.

Komintern ★★★★★
()
Ответ на: комментарий от Zmacs

Мсье всё напутал. Описаным им способом не дефэйсят а дефлорируют.

bugmaker ★★★★☆
()
Ответ на: комментарий от Zmacs

>Сайты дефейсят через фотошоп. Рисуют в нём задницу и дефейсят.

гы , этот метод назовём Фотожоп-Констрашн.

djung ★★
()
Ответ на: комментарий от djung

профтыкал :)

еще есть "админы", которые после установки готового движка, того же РНРВВ, забывают удалить инстал-файл :) тут уже вины рнр-кодеров нет как не крути :)

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

Есть мнение, что сам вот этот инсталл-файл мог придумать только человек без малейших, даже зачаточных представлений о безопасности. Хотя да, README читать некоторым не помешало бы при установке. Но я лично чаще наблюдаю банальную кривизну скриптов (полное доверие к юзерскому вводу и так далее).

Teak ★★★★★
()
Ответ на: комментарий от Komintern

>еще есть "админы", которые после установки готового движка, того же РНРВВ, забывают удалить инстал-файл :)

Странно, но почему-то после установки того же YaBB, даже если ты и не удалишь инсталл-файл, работать он уже не будет. Если оно не так в PhpBB, может, быдло-php-кодеры тоже виноваты? Если делаешь софту, частью потребителей которой являются идиоты, будь добр присобачить защиту от этих самых идиотов...

Ramen ★★★★
()
Ответ на: комментарий от Komintern

> и главное, что в том же пыхпыхе есть куча функций для безопасности... те же strip_tags, strip_slashes, etc...

Решение через жопу.

AngryElf ★★★★★
()
Ответ на: комментарий от Teak

если руки не из /dev/ass то с PHP можно очень хороший ,а также безопасный движок зделать.безопасный толЭко со стороны ПХП , а не с быдло админами и юзерами.

djung ★★
()
Ответ на: комментарий от djung

В самом по себе PHP слишком часто находят critical дыры, собственно каждая новая версия затыкает как минимум одну в предыдущей. Пусть у тебя всё написано просто идеально, о какой безопасности может идти речь?

А грамотный php-код видел, да. Удивился. Подтверждаю, оно встречается в природе. :) Только это ничего не меняет.

Teak ★★★★★
()
Ответ на: комментарий от Teak

если вам не будет трудно, тыкните пальцем мне на одну из тех уязвимостей, с помощью которой я смогу получить роота или хотябы вебшелл на машине, без пхпинкудов и прочего, я такого не видел.

как уже сказал если код грамотен, то повысить какимлибо образом свой права имхо нереально трудно иммено через ПыхПых

djung ★★
()
Ответ на: комментарий от djung

Если ты грамотен, то и на асме можно неплохой CGI скрипт забубенить. Всё-таки массовый продукт должен допускать намного меньше возможностей для проявления безграмотности. Вон, ucw, как не настраивай, всё равно либо конфетка либо вообще не пашет. И это правильно.

bugmaker ★★★★☆
()

>классифицируйте тип php ошибки который приводит к уязвимости

Основной ошибкой в php скриптах, является использование php в качестве языка программирование

Orlangoor ★★★★★
()
Ответ на: комментарий от Orlangoor

если посмотреть то sql инъекция встречается как и в асп или перл и етц.

может вспомним старую багу CGI? нульбайт? вот это уже и вправду ЖЕСТЬ, а вот что касается пхп такого ,что то не припомню!

djung ★★
()
Ответ на: комментарий от djung

>если посмотреть то sql инъекция встречается как и в асп или перл и етц.

plain text c оператором который переписывает контент по запросу пользователя наше всио

Orlangoor ★★★★★
()
Ответ на: комментарий от Miguel

прикол понял, но лучше бы ты эту паыосную беспредметную перепалку убрал и оставил только технический аспект.

ЗЫ кто нибудь знает жаба библиотеки которые чистят (x)html от скриптов ?

zort
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks