Új hozzászólás Aktív témák
-
#1
Brown ügynök
senior tag
Brown ügynök
senior tag
Ezt nem értem. Komolyan ilyen könnyű egy SQL injection támadással bejutni? Vagy ennyi jó hacker van? Vagy ennyi biztonságilag selejtes oldal van?
-
#2
Feruendios
tag
Feruendios
tag
Hát igen ez elég gáz, hogy SQL-injection-el be tudtak hatolni.
Sajnos mar nincs magyar billentyuzetem :(
-
#3
Jeanne d'Arc
addikt
Sok hacker van ez tény. A Sonynál is az a botrány a ps3 körül...
iPhone felvásárlás előfizetéses is!
-
anulu
félisten
"a világ egyik legnevesebb IT-cégénél elfogadhatatlan az ilyen sebezhetőség"
itt van a lényeg
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
#5
anulu
félisten
Brown ügynök
#1
anulu
félisten
válasz
Brown ügynök
#1
üzenetére
nagyon sok a támadási felület, és piszok sokan unatkoznak
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
#6
ddekany
veterán
Brown ügynök
#1
ddekany
veterán
válasz
Brown ügynök
#1
üzenetére
Ha van lehetőség SQL injection-ra, mert az oldal készítői benézték, akkor nem nagy művészet bejutni... Ha meg nem nézték be, akkor nem lehet vele bejutni. Elég egyszerű képlet. "SELECT akarmi FROM blabla WHERE id =" + id => nyilvános kivégzés a főtéren, család ivartalanítása, stb.
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
Samus
addikt
Na igen, kaptam is a mailt...igaz, azóta már párszor váltottam jelszót, és a használt fiókomba egyébként is sok spam jön, de a Gmail szűrője jól működik.
Azért kedves, hogy a Nokia elnézésem kéri. Én elnézem neki, most az egyszer, de többé ne forduljon elő (erről most eszembe jutott a Macskajaj idevágó jelenete, nem idéznék, mert nem olyan szavak voltak benne, ami ideillő lenne...).
'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!
-
#9
Inv1sus
addikt
Brown ügynök
#1
Inv1sus
addikt
válasz
Brown ügynök
#1
üzenetére
Ennyi. Sok ember azt gondolja, hogy mások úgyse fogják azon a ponton támadni a rendszert, ami nekik két-háromnapos meló lenne, így nem csinálják meg rendesen. Vannak ilyen tapasztalataim sajnos.
Az pedig gáz, hogy SQL injection-nal jutottak be. Ez nagyon alap támadási mód.
[ Szerkesztve ]
*** WEBDESIGN, GRAFIKUS DESIGN, FRONT-END PROGRAMOZÁS ***
-
ddekany
veterán
Ez valószínűleg inkább figyelmetlenség vagy a szaktudás hiánya, mivel szinte semmi plusz munkát nem jelent védekezni ellene. Főleg a tipikus LAMP-os webes programozók közül sokaknak magas az ilyesmi, amikor több nyelv összefonódik (pl. PHP + SQL), nem értik mi az amit végül is az adatbázis szerver megkap, vagy hogyan van ez az egész...
-
#14
Brown ügynök
senior tag
ddekany
#6
Brown ügynök
senior tag
Nem is tudom melyik a rosszabb: a figyelmetlenség vagy a szaktudás hiánya. Minden felhasználótól érkező adatnál alap lenne egy escape string. Az a meglepő, hogy az elmúlt hónapokban is egy csomó nagyvállalat weblapját törték fel, volt ahol ezt módszert alkalmazták. Azért elvárná az ember, hogy ilyen helyeken hozzáértőket alkalmaznak akik ilyen amatőr hibát nem vétenek.
Azért is voltam kicsit hitetlen az SQL injection-nel kapcsolatban mert könnyen kivédhető támadásnak tűnt.
-
ddekany
veterán
Mondjuk ehhez vastagon hozzátartozik az is, hogy nem elég hogy a gyorstalpalt (indiai, kínai, gábordénesi...
) és nem érdeklődő programozó olyan amilyen, a PHP platform készítői erre rádobtak egy lapáttal a maguk elsöprően sikeres inkompetenciájával. Először ugye volt a magic_quotes nevű csoda, de mivel állandóan gondot okozott (jééé), ezt elavultnak nyilvánították. Ám az alap PHP-s adatbázis kezelő könyvtárak csak ilyen string összefűzéses szart támogatnak, magyarul akkor most pakolásszál minden beszúrt változó köré mysql_real_escape_string(...)-t (azért ilyen viccesen hosszú a neve, hogy Csen/Rhajan/Pisti még inkább ne akarja odatenni), amit ha egyszer is valahol kifelejtesz, VAGY az előtte lévő idézőjelet kifelejted a befogadó sztringből, akkor ott az SQL injection lehetősége. Hát gratulálok. (Természetesen az idézőjel kifelejtésétől a magic_quotes sem védett.) Persze most már van PDO (meg mysqui), de ha nem alap, hogy mindenhol elérhetőek, akkor sokan ódzkodnak tőlük. -
floatr
veterán
Ez a hülyeség platformfüggetlen. Itt is akadt néhány kolléga, akik nem szeretik a jdbc paramétereket.
A másik hasonló állat a HTML encoding, bár az nem annyira brutálisan kártékony, de session-lopni azzal is lehet, ha gagyi a rendszer. Gondolom az sem volt itten védés alatt
-
-
ddekany
veterán
Nyilván, de legalább alap, hogy vannak, és ha jól rémlik mindig is voltak JDBC paraméterek. A HTML encoding... na az a másik. Csomó környezetben még mindig nem alap, hogy HTML template-ekben alapértelmezésben kódolunk, és csak ha explicit ki van jelentve, hogy nem kell, csak akkor nem. Ez tehát megint a (korai) eszközök hibája. Na de amúgy nem meglepő, hogy így állunk, elvégre az egész netes felzúdulás nincs még 20 éves... Ahogy elnézem az értelmesebb körökből jövő új framework-ökben ezek a dolgok már alapvetőek.
[ Szerkesztve ]
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it Presztízsveszteség, de nagy kár valószínűleg nem lesz, mivel a hacker a jelek szerint nem akart visszaélni a megszerzett adatokkal.
- Új Lenovo ThinkPad X13 G4 13.3" -50% AMD Ryzen 7 Pro 7840U 32GB 512GB FHD+ Radeon 780M
- Új MSI 17 Alpha QHD 240Hz Ryzen9 7945HX 16mag 16GB 512GB SSD Nvidia RTX 4070 8GB 140W Win11 Garancia
- Új MSI 17 Alpha QHD 240Hz Ryzen9 7945HX 16mag 16GB 1TB SSD Nvidia RTX 4060 8GB 140W Win11 Garancia
- Új Acer 17 Aspire 5 A517 FHD IPS i5-1135G7 4.2Ghz 8GB 1TB SSD Nvidia MX450 2GB Win11 Garancia
- Új Acer 17 Aspire 3 A317 FHD IPS i7-1165G7 4.7Ghz 16GB 512GB SSD Intel Iris XE Win11 Garancia
Állásajánlatok
Cég: Axon Labs Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest