Boroda aka Hamster (fantaseour) wrote,
Boroda aka Hamster
fantaseour

Category:

Security Alert!

Когда я прочитал, что гугл включил поиск по исходникам, я как и многие полез искать всякие курьезные комментарии в коде, имел некоторый приятный фан. Но это были цветочки,

Ягодки посыпались из блогов специалистов по php security. Дело в том, что любимые, доставшие и проклинаемые xss,cdrf а местами еще и sql инъекции заметны, и тревожат людей, кто работает с низким уровнем веб-разработки (например php, perl, ruby) — там где видно как работают формы и как передаются параметры и что посылается в базу. И сейчас не найти пожалуй таких выражений

$myres=mysql_query("SELECT * FROM MYTABLE WHERE id={$_GET['id']})


или еще хуже тоже самое но с регистер глобалс.
$myres=mysql_query("SELECT * FROM MYTABLE WHERE id=$id)

Это потому, что эти дырки все же торчат и о них все знают. Но там, где об этом не думали, особенно в мире, где пишут программисты пришедшие в веб из классического девелопмента, эти вещи в мозгу не отпечатались. Теперь есть способ искать эти уязвимости гуглом!

Вот так выглядит примитивный поиск на дурака по php include remote files:

lang:php (include|require)(_once)?\s*['"(]?\s*\$_(GET|POST|COOKIE). Также ищутся уязвимости в Java проектах (см. первые две ссылки)!

Резюмирую.
если вы не знаете что такое
xss,cdrf, sql injection

срочно бегите читать, у вас есть все шансы иметь приложение дырявое, как решето.
ссылки:

В общем
http://shiflett.org/archive/269
http://ilia.ws/archives/132-PHP-5.2.0RC5-is-out!.html

В частном
cdrf
http://shiflett.org/articles/security-corner-dec2004

xss
http://shiflett.org/archive/91
Google's XSS Vulnerability
http://shiflett.org/archive/177
Для тех, кто пишет на php, лучшее средство от XSS, это SafeHTML
http://pixel-apes.com/safehtml/?page=safehtml

Про sql инъекции поищите сами — про это много написано
Tags: web security
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 4 comments