| Netsparker | ||
|---|---|---|
| Weby24. maj 2010 20:52:26Pridružen od: 1. maj 2008 700 objav +89-182 | #1Pozdravljeni! Pred nekaj dnevi sem našel programček, ki išče možne vdore (SQL injection). http://www.mavitunasecurity.com/netsparker/ Potem sem se lotil preizkušanja, če to dejansko deluje. Hitro spišem formo za registracijo...uporabnik, geslo, mail. Rezultat programčka: Find Hidden Resources finished. Find Hidden Resources finished sending all requests, waiting for responses. Calculating Attack Possibilities... Boolean SQL Injection Attack Possibilities : 416 SQL Injection Attack Possibilities : 91 Cross-site Scripting Attack Possibilities : 227 Total Attack Possibilities : 734 ------------------------------------------------------------------------------ Poizkusimo še WordPress Total Attack Possibilities: 4500+ Sedaj pa se mi poraja vprašanje, kje sploh dobit bolj varno registracijsko skripto? oz. kako tole še bolj zaščititi? nazadnje urejal Weby 24. maj 2010 20:53:39 všeč(0)ni všeč(0)spam(0) No Packages marked for Update | |
| zeko24. maj 2010 21:37:32Pridružen od: 26. feb 2010 1274 objav +1258-41048 | #2Zdej tko, nise nek scriptkiddie ampak vsi odprtokodni sistemi imajo ZNANE exploite, ki so, recimo temu tako googlable. Ce imas nek custum projekt, pri katerem je koda spisana iz nule, se zmeraj obstajajo exploiti, vendar jih je potrebno najt itd... Sicer pa je to moje popolnoma laicno mnenje .) nazadnje urejal zeko 24. maj 2010 21:37:42 všeč(0)ni všeč(0)spam(0) | |
| Weby24. maj 2010 21:44:49Pridružen od: 1. maj 2008 700 objav +89-182 | #3Se popolnoma strinjam z tabo. Trenutno preizkušam izboljšati svojo formo. Za uporabniško ime sem dodelil pogoj, da je lahko geslo in uporabniško ime le iz številk in črk, seveda so se attacki zmanjšali vendar to po mojem ni rešitev, ker veliko ljudi v svojih geslih uporablja specialchars(!"#$). všeč(0)ni všeč(0)spam(0) No Packages marked for Update | |
| SlimDeluxe24. maj 2010 22:30:56Pridružen od: 29. apr 2010 627 objav +489-772 | #4Iz gesla itak v prvem koraku delaš hash tako da ne vem zakaj bi ga kakorkoli omejeval na neke znake. Sicer pa imaš na voljo mysql_escape ki ti escape-a vse, kar bi lahko pokvarilo query, pri outputu pa uporabljaš htmlentities($neki), da ti ne pokvari html-ja / javascripta. všeč(0)ni všeč(0)spam(0) | |
| Weby24. maj 2010 22:52:00Pridružen od: 1. maj 2008 700 objav +89-182 | #5Seveda uporabljam vse našteto in po vašem in mojem mnenju bi to zadoščalo za vso varnost. Vendar samo preizkušam to orodje in mi ni čisto jasno iz kje bi lahko prišel vdor. Preko take kode mi v 1 letu ni še nihče vdrl v spletno stran (sha-512, mysql_real_escape_string). Pač orodje najde razne možne exploite in bi jih zaradi radovednosti rad odpravil. Možnost je pa tudi, da to orodje prikazuje narobe. všeč(0)ni všeč(0)spam(0) No Packages marked for Update | |
| zeko24. maj 2010 22:56:32Pridružen od: 26. feb 2010 1274 objav +1258-41048 | #6Prosim za hec potestiraj tole stran :) http://www.kaspersky.com všeč(0)ni všeč(0)spam(0) | |
| SlimDeluxe24. maj 2010 23:17:46Pridružen od: 29. apr 2010 627 objav +489-772 | #7Ne vem, če bi tako orodje bilo za kakšno uporabo, bi lahko enostavno tudi izpisalo tudi na kaj točno je zadeva ranljiva, nakar bi zadevo lahko popravil brez ugibanja. Za to pa predvidevam moraš kupiti ta program :) nazadnje urejal SlimDeluxe 24. maj 2010 23:18:02 všeč(0)ni všeč(0)spam(0) | |
| Matjaž25. maj 2010 07:43:18Pridružen od: 21. sep 2007 1667 objav +899-1188 | #8Hm zanimivo tole. Za hec sem šel skenirat eno mojo joomlo. vse kar je našel je bilo 6 manjših "problemčkov" , kot je razkrit email ipd. Mimogrede...testiranje strani s takimi orodji zna bit precej nevarno. Program servira kar precej prometa in raznih zahtev na server. Lahko povzročiš tudi ddos ali kakšen ban od ponudnika. všeč(0)ni všeč(0)spam(0) | |
| bl4ckb1rd25. maj 2010 16:09:51Pridružen od: 18. avg 2008 992 objav +509-765 | #9 SlimDeluxe: Niti približno. Če pa že, ti pa sesuje celotno kodo :) Ne obstaja nek ultimate program, ki ve vse... drugače bi bil že standard v uporabi. všeč(0)ni všeč(0)spam(0) | |
stran 1 od 1 |<<1>>| | ||