Серьезное обновление web-audit.net
Дата: 1.09.2008 | Категория: Мои проектыЯ полностью изменил систему заказов, благодаря чему, можно подавать заявки на аудит автоматически, просто зарегистрировавшись на нашем сайте, и добавив адрес сайта в специальную форму.
В чем отличия:
1. Полностью переписан "движок" сайта www.web-audit.net
2. Зарегистрировавшись на сайте, Вы можете воспользоваться собственной панелью управления, которая включает в себя следующие возможности:
- Добавление сайта(ов) в очередь на проверку
- Возможность выбора типа аудита: "Удаленный аудит" или "Проверка исходников"
- Полный контроль над статусом проверки
- Оплата в автоматическом режиме любой из предложенных платежных систем. (WebMoney, Яндекс.Деньги, RBKMoney, ICQmoney, возможны дополнения)
- По окончании проверки, возможность просмотра отчета к каждому сайту в личной панели управления
- Легкая связь с администрацией. Например, если Вы хотите оставить отзыв, или задать какой-либо вопрос, в личном кабинете предоставлена такая возможность
Все проверки по-прежнему проводятся "вручную", что существенно увеличивает вероятность нахождения каких-либо уязвимостей.
Так же изменилась и ценовая политика. Мы снизили цены на 30%. Тарифы на услуги Вы можете посмотреть в разделе "Тарифы".
mod_rewrite спасает от атак sql-injection?
Дата: 25.08.2008 | Категория: КодингНаписал этот пост для блогера с ником DimoninG, так как отвечать на один из его вопросов в комментариях было не удобно.
DimoninG пишет руководство по созданию собственного блога на php. Он считает, что возможно защититься от атак sql-injection, просто используя mod_rewrite, чем вводит многих в заблуждение.
Цитата:
Если хакер попытается ввести в адрес не буквенно-цифровой символ, то сервер прервет запрос сразу же. То есть заботиться об этом в самом движке уже не надо.
Просто в данном случае мне кажется, что при записи в .htaccess вида A-Za-z0-9_ нельзя подставить никакую sql-inj.
Приведите ее пример, пожалуйста, который бы срабатывал и при этом хакал или хотя бы вешал двигло?.. Кроме подставления всякого бреда типа ’sdfsdfwerekjhf’, запись о котором просто не найдется в базе данных. Ну и без всякого бреда, типа переполнение буфера интерпретатора, я не знаю :)
Даже кавычку не подставить - сразу вылезет ошибка веб-сервера.
В какой-то степени, это правда. Но! Это ГРУБЕЙШАЯ ошибка программистов. Взломщик может подобрать запрос вида index.php?category=[sql-inj] (к примеру), тут никакой mod_rewrite не поможет.
НИКОГДА нельзя доверять данным, получаемым со стороны клиента! Ибо их можно подделать. Что ж, будем действовать "от противного", то есть напишем заведомо небезопасасный код, в котором не будем фильтровать входящие данные.
Просили пример? Получайте.
WEBInsta CMS 0.3.1 - раскрытие путей, локальный инклуд
Дата: 23.08.2008 | Категория: Взлома и защитаБолее ранние/поздние версии не смотрел.
Раскрытие путей:
http://host/admin/modules/about.php
http://host/modules/counter/module.def.php
http://host/modules/usersonline/module.def.php
Локальный инклуд:
http://host/admin/modules/about.php?name=../../../../../../../../../etc/passwd%00
$name=$_GET['name'];
include("../../modules/$name/module.info.php");
А я думал, что такого уже нигде не встретишь...
Защититься можно так:
<?php
// закрываем доступ для обычного посетителя
if(!isset($_SESSION["login"])) {
header("Location: ../admin.php");
return;
}
// проверяем $_GET['name'] на вшивость
$name = quotemeta($_GET['name']);
if(file_exists("../../modules/$name/module.info.php")) {
include("../../modules/$name/module.info.php");
} else { die(); }
?>
Дата: 19.08.2008 | Категория: Партнерки
Началось закрытое тестирование новой партнерской программы j2j, в которой могут заработать владельцы сайтов (за размещение статей), блогов (за написание постов и постовых), копирайтеры (за написание текстов), а рекламодатели могут эффективно продвинуть свой сайт.
Система недавно начала свою работу, зарегистрироваться можно только по приглашению.
Сайт системы - www.j2j.ru, чтобы зарегистрироваться по приглашению для посетителей secureblog.org, заходим по этой ссылке и выбираем "Регистрация".
Для тех, кто живет за счет рефералов - в j2j отличные условия и многоуровневый система комиссионных выплат. Сервис выплачивает 25% от своей комиссии с оборота приглашенного вами пользователя, а так же 50% от заработка по партнёрской программе ВСЕХ ваших рефералов, сколько бы их не было.
Так что, если даже у вас нет собственного сайта, то можно получить доход рекламируя саму систему, а т.к. она новая и пока малоизвестная, возможностей для этого очень много ;)
Дата: 18.08.2008 | Категория: Взлома и защита
Пользователи сразу нескольких интернет-форумов сообщили об обнаружении новой и довольно странной атаки, заключающейся в отравлении буфера обмена операционной системы. Атака является универсальной и ей подвержены пользователи всех современных настольных операционных систем, имеющих графический интерфейс.
Отпуск кончился, пора за работу
Дата: 5.08.2008 | Категория: БлогУже почти 3 месяца не обновлял блог. Причин для этого было множество.
Во-первых, сессия... Промаялся с ней до конца июня. Вообще июнь показался мне ужастным... не было денег даже на оплату хостинга, в связи с этим, блог был недоступен чуть больше месяца. Решил попробовать себя в поисковой оптимизации. Изучил большое количество информации по теме. Делаю первые шаги.
Огромная нехватка времени. Хорошо, что самое страшное уже позади =)
Во-вторых, решил устроить себе небольшой отпуск в июле. Благо, погода в моем городе была замечательная, да и средства позволяли хорошенько отдохнуть. В конце июля отпраздновал свое 19-летие =)
И вот наступил август. Отпуск закончился, пора работать. В планах очень много проектов, в частности, полная переработка сайта web-audit.net, чем я собственно сейчас и занимаюсь. Скоро думаю уже можно будет его запускать.
На заметку девелоперу. Учимся писать безопасный код. Часть 1.
Дата: 17.05.2008 | Категория: КодингРешил продолжить тему, затронутую в блоге Raz0r'а и рассказать о некоторых недоработках самого php. В частности рассмотрю примеры реализации атак и расскажу как от этих атак можно защититься.
Дата: 15.05.2008 | Категория: Взлома и защита
Уязвимость основана на недостаточной проверке вводных данных в скриптах, использующих функцию mail().
Уязвимость позволяет злоумышленнику отсылать спам через такие скрипты, что приводит сами знаете к чему.
О структуре e-mail документа можно почитать здесь.
Глядя на структуру письма можно догадаться, что, используя переводы строк (\r, \n), можно добавить любое количество новых заголовков, включая и новые адреса получателей, что очень хорошо для спамеров, но не для нас.
Дата: 05.05.2008 | Категория: Блог
Как вы уже заметили, полностью изменился дизайн блога.
Сделал его серым, не знаю почему. Минимум графики, больше контента :)
Надеюсь вам понравится. Так же были исправлены некоторые глюки в движке при обработке каптчи, а так же добавлена колонка "Друзья и партнеры".
Если вы хотите обменяться со мной ссылками, обращайтесь в icq или отпишитесь здесь в комментариях. С радостью рассмотрю любые предложения :)
На сегодня все.
Как отправить письмо с любого e-mail и получить на него ответ
Дата: 04.05.2008 | Категория: Взлома и защитаСитуация такая. Допустим злоумышленнику необходимо отправить e-mail с заведомо ложного адреса, например (admin@domain.net) на адрес Васи Пупкина (pupkin@domain.com). С какой целью, не важно.
С отправкой письма проблем не возникает, благо, в сети много сервисов по отправке таких писем (да и самому написать такой скрипт не сложно). Но как получить ответ на адрес admin@domain.net от Васиного pupkin@domain.com?
Именно на admin@domain.net получить письмо злоумышленник никак не сможет, т.к. такого адреса не существует. Здесь можно прийти к двум способам.
Защита директорий и файлов от несакционированного доступа
Дата: 04.05.2008 | Категория: Взлома и защитаВ продолжение к этому посту.
Есть несколько вариантов решения проблемы.
Первый, включить директиву safe_mode в php.ini
В случае, если директива safe_mode установлена значением on, php проверит, совпадает ли владелец скрипта и владелец файла или директории, которыми оперирует скрипт...
Обход ограничений на чтение файлов в linux
Дата: 03.05.2008 | Категория: Взлома и защитаЕсли вы администратор хостинга или просто интересуетесь безопасностью веб серверов, хочу поведать вам о том, как злоумышленники могут получить доступ к "защищенной" информации ваших клиентов. Например, в случае получения web-шелла к одному из сайтов ваших клиентов.
Идейной основой для написания этого поста было сообщение человека с ником kostich на bugtraq.ru.
Все дело в том, что многие администраторы считают, что поставив на клиентские директории права r-x--x--x, нельзя читать файлы других клиентов. Они, мягко говоря, заблуждаются. Между прочим довольно частая ситуация на различных серверах хостинг компаний.
Что ж, перейдем к сути проблемы.
А вся проблема в том, что есть несколько способов, с помощью которых можно читать файлы других клиентов хостинга.
Сейчас я приведу несколько примеров для ознакомительных целей.
Не все книги одинаково полезны...
Дата: 03.05.2008 | Категория: МыслиВчера в универе попалась мне в руки книга М. Кузнецова "PHP 5. Практика разработки Web-сайта". Решил полистать. Просматривая страницу за страницей, не нашел для себя ничего нового...
Решил посмотреть прилагаемой к ней диск с исходными кодами приложений, описанных в самой книге.
Первое что попалось на глаза, это их "CMS". Запустил апач, установил скрипт на локалхост. Открыв сайт в браузере и внешне осмотрев его, честно говоря был в шоке...
Нашел уязвимость sql-injection в разделе "Галерея". Возможно, там присутствуют и другие уязвимости, но, честно говоря, после этого даже не стал осматривать движок дальше, ибо смысла не было узнавать для себя что-то новое. Стало даже немного обидно за то, какая некачественная литература печатается у нас в стране.
Как человек, который не может грамотно писать и защищать свои приложения должным образом, может писать книги о практике разработки на php? Куда смотрят люди, которые выдают книгу на печать?
А потом спрашивается, почему наши программисты пишут дырявый код, повлекший за собой многочисленные взломы. Трудно представить, сколько людей учится на таких книгах, трудно представить о том, сколько в сети скриптов, написанных по технологиям, описаным в этой книге...
Стыдно, товарищи :(
Дата: 03.05.2008 | Категория: Блог
Вот и появился на свет мой блог. Посвятил я его довольно сложной и важной теме в сети, это безопасность. Не то чтобы эта тема нигде не освещается, есть ресурсы посвященные этому, факт в том, что мало кто всерьез интересуется этой проблемой. Именно, проблемой.
Движок для блога написал свой. Для начала хотел использовать WordPress, но передумал в пользу безопасности. Шаблон тоже свой, хотя особых навыков к дизайну не имею :) Так что если увидите какой-то баг, пишите на мэйл или стучите в icq, буду очень благодарен.
Что ж, буду стараться хоть на какую-то часть освещать эти проблемы безопасности в сети, и естественно пути их решения.
Как говорится, вэлкам :)
|
О блоге
RSS-лента Друзья и партнеры
Счетчики |
