Boroda aka Hamster (fantaseour) wrote,
Boroda aka Hamster
fantaseour

Security Alert!

Когда я прочитал, что гугл включил поиск по исходникам, я как и многие полез искать всякие курьезные комментарии в коде, имел некоторый приятный фан. Но это были цветочки,

Ягодки посыпались из блогов специалистов по php security. Дело в том, что любимые, доставшие и проклинаемые xss,cdrf а местами еще и sql инъекции заметны, и тревожат людей, кто работает с низким уровнем веб-разработки (например php, perl, ruby) — там где видно как работают формы и как передаются параметры и что посылается в базу. И сейчас не найти пожалуй таких выражений

$myres=mysql_query("SELECT * FROM MYTABLE WHERE id={$_GET['id']})


или еще хуже тоже самое но с регистер глобалс.
$myres=mysql_query("SELECT * FROM MYTABLE WHERE id=$id)

Это потому, что эти дырки все же торчат и о них все знают. Но там, где об этом не думали, особенно в мире, где пишут программисты пришедшие в веб из классического девелопмента, эти вещи в мозгу не отпечатались. Теперь есть способ искать эти уязвимости гуглом!

Вот так выглядит примитивный поиск на дурака по php include remote files:

lang:php (include|require)(_once)?\s*['"(]?\s*\$_(GET|POST|COOKIE). Также ищутся уязвимости в Java проектах (см. первые две ссылки)!

Резюмирую.
если вы не знаете что такое
xss,cdrf, sql injection

срочно бегите читать, у вас есть все шансы иметь приложение дырявое, как решето.
ссылки:

В общем
http://shiflett.org/archive/269
http://ilia.ws/archives/132-PHP-5.2.0RC5-is-out!.html

В частном
cdrf
http://shiflett.org/articles/security-corner-dec2004

xss
http://shiflett.org/archive/91
Google's XSS Vulnerability
http://shiflett.org/archive/177
Для тех, кто пишет на php, лучшее средство от XSS, это SafeHTML
http://pixel-apes.com/safehtml/?page=safehtml

Про sql инъекции поищите сами — про это много написано
Tags: web security
Subscribe
  • Post a new comment

    Error

    default userpic
    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 6 comments