Ошибка: Failed to parse the Currency Converter XML document.
$54 081.51


Ошибка: Failed to parse the Currency Converter XML document.
$19 744.03


Ошибка: Failed to parse the Currency Converter XML document.
$1 345.54


Поиск уязвимостей в PHP скриптах для Начинающих

Итак, сейчас я Вам объясню, как я ищу баги в скриптах на PHP, так делаю я сам и не кому не навязываю свой вариант...

Статья это маленькая, но я считаю полезная =)

1. Если вы читали мою вторую статью то первое что стоит искать, должно было прийти в голову уже... Т.е. первое что мы ищем include($file);
Так же хочеться упомянуть более опытных разработчиков, которые переписывают стандартные функции, если вы столкнулись с такой ситуацией, то надо сначало просмотреть файл с функциями, так же на наличие обращения к include, fopen и т.п.

При обнаружении таковой, ищем в листинге уже не просто include, а его замену... При обнаружении, смотрим не стоят ли на эту переменную фмльтры и не обнуляется ли она в начале скрипта.


2. Поиск SQL — inj
Расскажу на практике:
Кусок кода из интернет казино:
if ($send==«1»)
{
mysql_query(«UPDATE users set pass=«$cpass»,name=«$cname»,fam=«$cfam» where login=«$l»»);
echo «»; }

Итак, после нахождения в нём уязвимости, я думал что от нее не будет толку, но как показала практика, есть ...

Итак, мы видим, что при включеных MAGICQUOTES, вмешаться в данный запрос не получится... Но нашлись и такие сервера, которые работали без этой дирeктивы...


Переменные передаются через Формы и самый простой способ вмешаться в запрос это поле Фамилия =) Главное правильно составить запрос, после составления такого запроса «,cash=«20.00» /*
На локальном компьютере, я увидел, что у всех зарегистрированных пользователей баланс стал по 20.00 и это меня и обрадовало и огорчило, так-как не заметил, что обрубаю запрос и не уточняю где надо изменить баланс, потом подредактировав запрос, я составил следующий запрос
»,cash=«20.00» where login=«12»/*

И у пользователя 12 на счету стало 20.00 руб =) После этого я убедился, что все уязвимости важны, таже те которые на первы взгляд кажуться мало важными...

 

Интересное

10 советов по настройке...
10 полезных советов по настройке Microsoft Windos XP. В статье описано: отключение службы отчета об ошибках, автоматический запуск пакетного batch-файла при запуске командной строки, конфигурация...
Подробнее...
Основные требования к...
Простота логотипа, товарного знака предполагает отсутствие в нем большого количества переплетающихся, сложных линий, мелких подробных деталей и т.п. Она облегчает восприятие и запоминание знака, а...
Подробнее...
PHP кодировка писем
У меня часто спрашивают, как отсылать письма с помощью php в правильной кодировке: после отправки письма с русскими буквами, на почту людям приходит абракадабра.А все дело в том, что для почты у...
Подробнее...
SSI - что, когда, как?
Основным, простейшим, но в то же время чрезвычайно мощным инструментом поддержки больших наборов документов является SSI (Server-Side Includes — включения на стороне сервера). Если кто-то из...
Подробнее...
Общая информация по XP
1.1. Что такое WindowsXP? Это новая OC от компании Microsoft, в которой сделана попытка объединить две, ранее существовавшие независимо, линейки W9x и NT. Первоначально этот проект назывался...
Подробнее...
Средства Delphi 7 для...
Рассмотрим наборы компонентов, которые присутствуют в библиотеке компонентов delphi 7, предназначенных для работы с базами данных. Вы узнаете, что такое набор данных, источник данных и...
Подробнее...
Метатэги
Здесь можно расслабиться. :)В противоположность многочисленным утверждениям о важности правильного использования тэгов META, вам предстоит сейчас узнать о том, что это не так уж и важно.
Подробнее...
Чем плохи новые видеокамеры
Обычно от того, что пленочные кассеты становятся достоянием истории, потребитель только выигрывает. Так было, к примеру, когда DVD-плееры пришли на смену кассетным видеомагнитофонам. Но с...
Подробнее...
Оптимизация и с чем ее едят
Вы спросите, зачем это нужно, если сейчас мощность «железа» настолько высока, что всякого рода оптимизация все равно заметно не повлияет на быстродействие. Да, отчасти это так, но у многих еще...
Подробнее...
Чистка Windows
Причин подобного поведения «форточек» можно привести массу — от всевозможного программного мусора, забивающегося в укромные уголки Windows и сжирающего немало ресурсов компьютера, до инфицирования...
Подробнее...