Форумы портала PHP.SU

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Форумы портала PHP.SU » Список сообщений, автором которых является kuzya

Страниц (6): « 1 2 3 4 5 [6]

Найдено сообщений: 79

kuzya	Отправлено: 18 Февраля, 2007 - 07:09:42 • Тема: Взлом сайта на PHP • Форум: Наработки по собственным проектам
Ответов: 25 Просмотров: 26062	Вот этот код обращается к test1.ru/test.php и передаёт поддельные заголовки #!usr/bin/perl use LWP::UserAgent; $client=LWP::UserAgent->new(); $request=$client->get("http://test1.ru/index.php", 'USER_AGENT' => "всё что нужно", 'CLIENT_IP' => "всё что нужно" );

kuzya

Отправлено: 17 Февраля, 2007 - 21:47:11 • Тема: Взлом сайта на PHP • Форум: Наработки по собственным проектам

Ответов: 25
Просмотров: 26062

Ну как хотите. Если ссылку дадите - смотреть не буду т.к. деньги на инете всётаки не казённые, к тому же с исходниками намного проще. Рас исходники давать боитесь то сделайте следующее:
1. Слейте XSpider и просканьте свой сайт (желательно на локалхосте -паук трафик не хилый генерит) с профилем HTTPcontent (там подписано что для разработчиков профиль). Если он покажет Вам серьёзные уязвимости(XSS тоже к ним причисляйте) то вперёд искать. Если паук молчит то значит от большинства маленьких хакерят Вы себя оградили.
2. Каждый передаваемый параметры пропускайте например через такое регулярное выражение:
$param=ereg_replace("[^a-zA-Z0-9]","",$param);
тут в $param заменяются на пустоту все символы кроме маленьких и заглавных букв и цифр(тоесть кавычки, слэши, запятые и т.д.).
3. Фильтруйте опасные символы во всех кукисах(если имеются)
4. Если проводите какие то операции с реферером, IP или USER_AGENT то их тоже обязательно фильтруйте. А IP вообще лучше получать через REMOTE_ADDR т.к. client_ip и x_forwarded_for подделываются так же легко как referer и user_agent.
5. Если ставите какие-то публичные скрипты(форум/голосование и т.д.)
то проверьте на сайте девелоперов последняя ли у Вас версия.

kuzya

Отправлено: 17 Февраля, 2007 - 12:27:35 • Тема: Взлом сайта на PHP • Форум: Наработки по собственным проектам

Ответов: 25
Просмотров: 26062

С ссылкой врят ли что то найдёшь(%30 дыр и всё)
если даш исходиники то дыр будет найдено намного больше.
Я не думаю что ты написал проект который стоит ~1000$ - поэтому исходники можеш давать кому угодно и сколько угодно(естессно если уверен что дыр нету).
Если обратно переубедишся то стукни 188069

kuzya

Отправлено: 16 Февраля, 2007 - 08:54:11 • Тема: Взлом сайта на PHP • Форум: Наработки по собственным проектам

Ответов: 25
Просмотров: 26062

Блин, ничего Вы тут эпопею завернули. Хакеры тебя сломают, хакеры своруют твои исходники, хакеры закрутят левые сервисы на твоём хосте. Ппц просто. Только один человек почти правильно сказал - надо дать линк на сайт на хакерском форуме.
НО! Если Вы действительно так и сделаете то 40-50% вероятности что какойнить Вася Пупкин действительно задефейсит и потрёт всё нахрен. А если Вы просто пройдётесь по форуму и найдёте действительно грамотных людей то врят ли они что-то опасное сделают.
Могу посоветовать обратится с этой просьбой на форум inattack.ru . Но всякие тестовые работы стоят денег. Тут всё упирается в то сколько Вы готовы заплатить за это.
Если до сих пор желание проверить свой сайт не отпало то можете связаться со мной по асе: 188069 или написать в личку (здесь или на форуме inattack.ru на этот же ник) . За тестирование денег не возьму т.к. просто нравися этим заниматся.

Страниц (6): « 1 2 3 4 5 [6]