- QNAP hálózati adattárolók (NAS)
- Frissítve! A földön ragadtak a repülők, mert leállt a Microsoft felhője
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Aggasztó dolgot tapasztal a Tesla Kaliforniában
- Hálózati / IP kamera
- SkyShowtime
- DIGI kábel TV
- Windows 10
- Musk felháborodott, elköltözteti a SpaceX-et és az X-et
- Windows 11
Új hozzászólás Aktív témák
-
Brown ügynök
senior tag
Ezt nem értem. Komolyan ilyen könnyű egy SQL injection támadással bejutni? Vagy ennyi jó hacker van? Vagy ennyi biztonságilag selejtes oldal van?
"hacsak nem jön a jó tündér break utasítás képében..."
-
Feruendios
aktív tag
Hát igen ez elég gáz, hogy SQL-injection-el be tudtak hatolni.
Sajnos mar nincs magyar billentyuzetem :(
-
Sok hacker van ez tény. A Sonynál is az a botrány a ps3 körül...
iPhone felvásárlás előfizetéses is!
-
anulu
félisten
"a világ egyik legnevesebb IT-cégénél elfogadhatatlan az ilyen sebezhetőség"
itt van a lényeg
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
válasz
Brown ügynök #1 üzenetére
nagyon sok a támadási felület, és piszok sokan unatkoznak
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
ddekany
veterán
válasz
Brown ügynök #1 üzenetére
Ha van lehetőség SQL injection-ra, mert az oldal készítői benézték, akkor nem nagy művészet bejutni... Ha meg nem nézték be, akkor nem lehet vele bejutni. Elég egyszerű képlet. "SELECT akarmi FROM blabla WHERE id =" + id => nyilvános kivégzés a főtéren, család ivartalanítása, stb.
-
Samus
addikt
Na igen, kaptam is a mailt...igaz, azóta már párszor váltottam jelszót, és a használt fiókomba egyébként is sok spam jön, de a Gmail szűrője jól működik.
Azért kedves, hogy a Nokia elnézésem kéri. Én elnézem neki, most az egyszer, de többé ne forduljon elő (erről most eszembe jutott a Macskajaj idevágó jelenete, nem idéznék, mert nem olyan szavak voltak benne, ami ideillő lenne...).
'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!
-
ch003067
addikt
Ennek a feltörésért vajon hány pont jár ??
Amúgy ciki...
-
Inv1sus
addikt
válasz
Brown ügynök #1 üzenetére
Ennyi. Sok ember azt gondolja, hogy mások úgyse fogják azon a ponton támadni a rendszert, ami nekik két-háromnapos meló lenne, így nem csinálják meg rendesen. Vannak ilyen tapasztalataim sajnos.
Az pedig gáz, hogy SQL injection-nal jutottak be. Ez nagyon alap támadási mód.
[ Szerkesztve ]
*** WEBDESIGN, GRAFIKUS DESIGN, FRONT-END PROGRAMOZÁS ***
-
ddekany
veterán
Ez valószínűleg inkább figyelmetlenség vagy a szaktudás hiánya, mivel szinte semmi plusz munkát nem jelent védekezni ellene. Főleg a tipikus LAMP-os webes programozók közül sokaknak magas az ilyesmi, amikor több nyelv összefonódik (pl. PHP + SQL), nem értik mi az amit végül is az adatbázis szerver megkap, vagy hogyan van ez az egész...
-
Brown ügynök
senior tag
Nem is tudom melyik a rosszabb: a figyelmetlenség vagy a szaktudás hiánya. Minden felhasználótól érkező adatnál alap lenne egy escape string. Az a meglepő, hogy az elmúlt hónapokban is egy csomó nagyvállalat weblapját törték fel, volt ahol ezt módszert alkalmazták. Azért elvárná az ember, hogy ilyen helyeken hozzáértőket alkalmaznak akik ilyen amatőr hibát nem vétenek.
Azért is voltam kicsit hitetlen az SQL injection-nel kapcsolatban mert könnyen kivédhető támadásnak tűnt.
"hacsak nem jön a jó tündér break utasítás képében..."
-
ddekany
veterán
Mondjuk ehhez vastagon hozzátartozik az is, hogy nem elég hogy a gyorstalpalt (indiai, kínai, gábordénesi...
) és nem érdeklődő programozó olyan amilyen, a PHP platform készítői erre rádobtak egy lapáttal a maguk elsöprően sikeres inkompetenciájával. Először ugye volt a magic_quotes nevű csoda, de mivel állandóan gondot okozott (jééé), ezt elavultnak nyilvánították. Ám az alap PHP-s adatbázis kezelő könyvtárak csak ilyen string összefűzéses szart támogatnak, magyarul akkor most pakolásszál minden beszúrt változó köré mysql_real_escape_string(...)-t (azért ilyen viccesen hosszú a neve, hogy Csen/Rhajan/Pisti még inkább ne akarja odatenni), amit ha egyszer is valahol kifelejtesz, VAGY az előtte lévő idézőjelet kifelejted a befogadó sztringből, akkor ott az SQL injection lehetősége. Hát gratulálok. (Természetesen az idézőjel kifelejtésétől a magic_quotes sem védett.) Persze most már van PDO (meg mysqui), de ha nem alap, hogy mindenhol elérhetőek, akkor sokan ódzkodnak tőlük.
-
floatr
veterán
Ez a hülyeség platformfüggetlen. Itt is akadt néhány kolléga, akik nem szeretik a jdbc paramétereket.
A másik hasonló állat a HTML encoding, bár az nem annyira brutálisan kártékony, de session-lopni azzal is lehet, ha gagyi a rendszer. Gondolom az sem volt itten védés alatt
-
=Mentor=
őstag
"Jótékony" oldalfeltörő, talán még meg is kéne köszönni neki?
-
ddekany
veterán
Nyilván, de legalább alap, hogy vannak, és ha jól rémlik mindig is voltak JDBC paraméterek. A HTML encoding... na az a másik. Csomó környezetben még mindig nem alap, hogy HTML template-ekben alapértelmezésben kódolunk, és csak ha explicit ki van jelentve, hogy nem kell, csak akkor nem. Ez tehát megint a (korai) eszközök hibája. Na de amúgy nem meglepő, hogy így állunk, elvégre az egész netes felzúdulás nincs még 20 éves... Ahogy elnézem az értelmesebb körökből jövő új framework-ökben ezek a dolgok már alapvetőek.
[ Szerkesztve ]
Új hozzászólás Aktív témák
it Presztízsveszteség, de nagy kár valószínűleg nem lesz, mivel a hacker a jelek szerint nem akart visszaélni a megszerzett adatokkal.
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- nVidia tulajok OFF topikja
- Redmi Note 13 Pro 5G - nem százas, kétszázas!
- Milyen légkondit a lakásba?
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- QNAP hálózati adattárolók (NAS)
- Frissítve! A földön ragadtak a repülők, mert leállt a Microsoft felhője
- E-roller topik
- Politika
- Garancia kérdés, fogyasztóvédelem
- További aktív témák...
- EVGA RTX 3080 10GB GDDR6X XC3 ULTRA GAMING Eladó! 149.000.-
- ZBook Fury 15 G7 15.6" FHD IPS i9-10885H RTX 4000 32GB 512GB NVMe ujjlolv IR kam gar
- GIGABYTE RTX 3070 8GB GDDR6 VISION OC Eladó! 118.000.-
- INNO3D RTX 3070 8GB GDDR6 ICHILL X3 Eladó! 106.000.-
- INNO3D RTX 3070 8GB GDDR6 ICHILL X4 Eladó! 108.000.-
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen