Új hozzászólás Aktív témák
-
ddekany
veterán
Nyilván, de legalább alap, hogy vannak, és ha jól rémlik mindig is voltak JDBC paraméterek. A HTML encoding... na az a másik. Csomó környezetben még mindig nem alap, hogy HTML template-ekben alapértelmezésben kódolunk, és csak ha explicit ki van jelentve, hogy nem kell, csak akkor nem. Ez tehát megint a (korai) eszközök hibája. Na de amúgy nem meglepő, hogy így állunk, elvégre az egész netes felzúdulás nincs még 20 éves... Ahogy elnézem az értelmesebb körökből jövő új framework-ökben ezek a dolgok már alapvetőek.
[ Szerkesztve ]
-
-
floatr
veterán
Ez a hülyeség platformfüggetlen. Itt is akadt néhány kolléga, akik nem szeretik a jdbc paramétereket.
A másik hasonló állat a HTML encoding, bár az nem annyira brutálisan kártékony, de session-lopni azzal is lehet, ha gagyi a rendszer. Gondolom az sem volt itten védés alatt
-
ddekany
veterán
Mondjuk ehhez vastagon hozzátartozik az is, hogy nem elég hogy a gyorstalpalt (indiai, kínai, gábordénesi...
![;]](//cdn.rios.hu/dl/s/v1.gif)
) és nem érdeklődő programozó olyan amilyen, a PHP platform készítői erre rádobtak egy lapáttal a maguk elsöprően sikeres inkompetenciájával. Először ugye volt a magic_quotes nevű csoda, de mivel állandóan gondot okozott (jééé), ezt elavultnak nyilvánították. Ám az alap PHP-s adatbázis kezelő könyvtárak csak ilyen string összefűzéses szart támogatnak, magyarul akkor most pakolásszál minden beszúrt változó köré mysql_real_escape_string(...)-t (azért ilyen viccesen hosszú a neve, hogy Csen/Rhajan/Pisti még inkább ne akarja odatenni), amit ha egyszer is valahol kifelejtesz, VAGY az előtte lévő idézőjelet kifelejted a befogadó sztringből, akkor ott az SQL injection lehetősége. Hát gratulálok. (Természetesen az idézőjel kifelejtésétől a magic_quotes sem védett.) Persze most már van PDO (meg mysqui), de ha nem alap, hogy mindenhol elérhetőek, akkor sokan ódzkodnak tőlük. -
#14
Brown ügynök
senior tag
ddekany
#6
Brown ügynök
senior tag
Nem is tudom melyik a rosszabb: a figyelmetlenség vagy a szaktudás hiánya. Minden felhasználótól érkező adatnál alap lenne egy escape string. Az a meglepő, hogy az elmúlt hónapokban is egy csomó nagyvállalat weblapját törték fel, volt ahol ezt módszert alkalmazták. Azért elvárná az ember, hogy ilyen helyeken hozzáértőket alkalmaznak akik ilyen amatőr hibát nem vétenek.
Azért is voltam kicsit hitetlen az SQL injection-nel kapcsolatban mert könnyen kivédhető támadásnak tűnt.
-
ddekany
veterán
Ez valószínűleg inkább figyelmetlenség vagy a szaktudás hiánya, mivel szinte semmi plusz munkát nem jelent védekezni ellene. Főleg a tipikus LAMP-os webes programozók közül sokaknak magas az ilyesmi, amikor több nyelv összefonódik (pl. PHP + SQL), nem értik mi az amit végül is az adatbázis szerver megkap, vagy hogyan van ez az egész...
-
#9
Inv1sus
addikt
Brown ügynök
#1
Inv1sus
addikt
válasz
Brown ügynök
#1
üzenetére
Ennyi. Sok ember azt gondolja, hogy mások úgyse fogják azon a ponton támadni a rendszert, ami nekik két-háromnapos meló lenne, így nem csinálják meg rendesen. Vannak ilyen tapasztalataim sajnos.
Az pedig gáz, hogy SQL injection-nal jutottak be. Ez nagyon alap támadási mód.
[ Szerkesztve ]
*** WEBDESIGN, GRAFIKUS DESIGN, FRONT-END PROGRAMOZÁS ***
-
Na igen, kaptam is a mailt...igaz, azóta már párszor váltottam jelszót, és a használt fiókomba egyébként is sok spam jön, de a Gmail szűrője jól működik.
Azért kedves, hogy a Nokia elnézésem kéri. Én elnézem neki, most az egyszer, de többé ne forduljon elő (erről most eszembe jutott a Macskajaj idevágó jelenete, nem idéznék, mert nem olyan szavak voltak benne, ami ideillő lenne...).
'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!
-
#6
ddekany
veterán
Brown ügynök
#1
ddekany
veterán
válasz
Brown ügynök
#1
üzenetére
Ha van lehetőség SQL injection-ra, mert az oldal készítői benézték, akkor nem nagy művészet bejutni... Ha meg nem nézték be, akkor nem lehet vele bejutni. Elég egyszerű képlet. "SELECT akarmi FROM blabla WHERE id =" + id => nyilvános kivégzés a főtéren, család ivartalanítása, stb.
-
#5
anulu
félisten
Brown ügynök
#1
anulu
félisten
válasz
Brown ügynök
#1
üzenetére
nagyon sok a támadási felület, és piszok sokan unatkoznak
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
"a világ egyik legnevesebb IT-cégénél elfogadhatatlan az ilyen sebezhetőség"
itt van a lényeg
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
#3
Jeanne d'Arc
addikt
Sok hacker van ez tény. A Sonynál is az a botrány a ps3 körül...
iPhone felvásárlás előfizetéses is!
-
#2
Feruendios
tag
Feruendios
tag
Hát igen ez elég gáz, hogy SQL-injection-el be tudtak hatolni.
Sajnos mar nincs magyar billentyuzetem :(
-
#1
Brown ügynök
senior tag
Brown ügynök
senior tag
Ezt nem értem. Komolyan ilyen könnyű egy SQL injection támadással bejutni? Vagy ennyi jó hacker van? Vagy ennyi biztonságilag selejtes oldal van?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
) és nem érdeklődő programozó olyan amilyen, a PHP platform készítői erre rádobtak egy lapáttal a maguk elsöprően sikeres inkompetenciájával. Először ugye volt a magic_quotes nevű csoda, de mivel állandóan gondot okozott (jééé), ezt elavultnak nyilvánították. Ám az alap PHP-s adatbázis kezelő könyvtárak csak ilyen string összefűzéses szart támogatnak, magyarul akkor most pakolásszál minden beszúrt változó köré mysql_real_escape_string(...)-t (azért ilyen viccesen hosszú a neve, hogy Csen/Rhajan/Pisti még inkább ne akarja odatenni), amit ha egyszer is valahol kifelejtesz, VAGY az előtte lévő idézőjelet kifelejted a befogadó sztringből, akkor ott az SQL injection lehetősége. Hát gratulálok. (Természetesen az idézőjel kifelejtésétől a magic_quotes sem védett.) Persze most már van PDO (meg mysqui), de ha nem alap, hogy mindenhol elérhetőek, akkor sokan ódzkodnak tőlük.
Új hozzászólás Aktív témák
it Presztízsveszteség, de nagy kár valószínűleg nem lesz, mivel a hacker a jelek szerint nem akart visszaélni a megszerzett adatokkal.
- CES 2025: közeleg az AMD és az NVIDIA CES előadása
- Telekom mobilszolgáltatások
- Honor Magic5 Pro - kamerák bűvöletében
- Hibákat orvosol az új Arc meghajtó
- Ukrajnai háború
- Lakáshitel, lakásvásárlás
- EA Sports WRC '23
- Milyen billentyűzetet vegyek?
- Politikai mémek
- Azonnali informatikai kérdések órája
- További aktív témák...
- Macbook Air M1 91%
- Újszerű Apple MacBook Air 15,3" (2023) 80 Ciklus 100% akku- 10C GPU, 8GB, 256GB (MQKW3MG/A) Éjfekete
- AKCIÓ!!! GAMER PC: Új RYZEN 5 4500-5600X + RTX 4060 Ti + Új 16-32GB DDR4! GARANCIA/SZÁMLA!
- ÚJ BONTATLAN Apple Watch Series 10 S10 42-46mm Azonnal Átvehető DEÁK TÉRNÉL 1 Év Apple Garanciával.
- ÚJ bontatlan S9 41mm Graphite Stainless steel Cellular Rozsdamentes acél azonl átvehető Deák térnél
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest