Ошибка: Failed to parse the Currency Converter XML document.
$12 474.19


Ошибка: Failed to parse the Currency Converter XML document.
$924.10


Ошибка: Failed to parse the Currency Converter XML document.
$1 029.46


Поиск уязвимостей в PHP скриптах для Начинающих

Итак, сейчас я Вам объясню, как я ищу баги в скриптах на PHP, так делаю я сам и не кому не навязываю свой вариант...

Статья это маленькая, но я считаю полезная =)

1. Если вы читали мою вторую статью то первое что стоит искать, должно было прийти в голову уже... Т.е. первое что мы ищем include($file);
Так же хочеться упомянуть более опытных разработчиков, которые переписывают стандартные функции, если вы столкнулись с такой ситуацией, то надо сначало просмотреть файл с функциями, так же на наличие обращения к include, fopen и т.п.

При обнаружении таковой, ищем в листинге уже не просто include, а его замену... При обнаружении, смотрим не стоят ли на эту переменную фмльтры и не обнуляется ли она в начале скрипта.


2. Поиск SQL — inj
Расскажу на практике:
Кусок кода из интернет казино:
if ($send==«1»)
{
mysql_query(«UPDATE users set pass=«$cpass»,name=«$cname»,fam=«$cfam» where login=«$l»»);
echo «»; }

Итак, после нахождения в нём уязвимости, я думал что от нее не будет толку, но как показала практика, есть ...

Итак, мы видим, что при включеных MAGICQUOTES, вмешаться в данный запрос не получится... Но нашлись и такие сервера, которые работали без этой дирeктивы...


Переменные передаются через Формы и самый простой способ вмешаться в запрос это поле Фамилия =) Главное правильно составить запрос, после составления такого запроса «,cash=«20.00» /*
На локальном компьютере, я увидел, что у всех зарегистрированных пользователей баланс стал по 20.00 и это меня и обрадовало и огорчило, так-как не заметил, что обрубаю запрос и не уточняю где надо изменить баланс, потом подредактировав запрос, я составил следующий запрос
»,cash=«20.00» where login=«12»/*

И у пользователя 12 на счету стало 20.00 руб =) После этого я убедился, что все уязвимости важны, таже те которые на первы взгляд кажуться мало важными...

 

Интересное

Безопасность в Windows XP
1. Стратегия безопасности Windows XP Модель безопасности Windows XP Professional основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные...
Подробнее...
Система X Window
Система X Window представляет собой графическую оболочку для операционных систем семейства Unix.Топологически X Window состоит из двух частей: это Х-сервер и Х-клиент.Х-сервер — это программа...
Подробнее...
Java обгоняет по...
Одним из главных недостатков языка Java традиционно считается невысокая скорость работы программ по сравнению с приложениями на языке С++. И для приложений, где переносимость между платформами...
Подробнее...
«Резиновая вёрстка»:...
Я недавно столкнулся с задачей, в которой надо было создать двухколоночный макет страницы с «шапкой» и «подвалом», причём в коде страницы контент должен был быть расположен перед блоком...
Подробнее...
Тестирование настроек...
Можно смело предположить, что нет таких пользователей, которые были бы полностью довольны производительностью своих dial-up соединений в Интернет. Приходится долго ждать загрузки web-страниц,...
Подробнее...
Аналоговые системы...
Системы аналогового видеонаблюдения применяются в местах, где необходима организация видеонаблюдения в зданиях с малым количеством помещений – небольшие кафе, автостоянки, помещения для...
Подробнее...
Компьютер на замке
Хакеры, спамеры, недобросовестные сотрудники и коллеги... Плохишам и просто праздным любопытным вход в компьютер должен быть заказан. Как и важным данным — выход оттуда.Вместе с...
Подробнее...
Шесть правил ухода за...
Мало кому приходит в голову протирать экран телевизора спиртом — так почему же у многих чешутся руки произвести подобное издевательство над монитором?!Причем можно было бы понять, если бы это...
Подробнее...
Восстановление системы...
Для специалиста слова «Windows NT/2K/XP не грузится» не значат ровным счетом ничего. Может сломаться жесткий диск, пострадать файловая система, разрушиться таблица разделов, слететь...
Подробнее...
Seagate eSATA External...
Внешние жёсткие диски — незаменимая в домашнем быту и на работе вещь. Резервные копии, архивы и перенос больших объёмов информации — тут не обойтись «флэшкой» А вот внешний...
Подробнее...