- A földön ragadtak a repülők, mert leállt a Microsoft felhője
- Windows 11
- Musk felháborodott, elköltözteti a SpaceX-et és az X-et
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- VPN topic
- ASUS routerek
- A japán cégek közel fele nem akar AI-t
- WLAN, WiFi, vezeték nélküli hálózat
- Videó stream letöltése
- Hálózati / IP kamera
Új hozzászólás Aktív témák
-
Brown ügynök
senior tag
Ezt nem értem. Komolyan ilyen könnyű egy SQL injection támadással bejutni? Vagy ennyi jó hacker van? Vagy ennyi biztonságilag selejtes oldal van?
"hacsak nem jön a jó tündér break utasítás képében..."
-
Feruendios
aktív tag
Hát igen ez elég gáz, hogy SQL-injection-el be tudtak hatolni.
Sajnos mar nincs magyar billentyuzetem :(
-
addikt
Sok hacker van ez tény. A Sonynál is az a botrány a ps3 körül...
iPhone felvásárlás előfizetéses is!
-
anulu
félisten
"a világ egyik legnevesebb IT-cégénél elfogadhatatlan az ilyen sebezhetőség"
itt van a lényeg
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
anulu
félisten
válasz Brown ügynök #1 üzenetére
nagyon sok a támadási felület, és piszok sokan unatkoznak
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
ddekany
veterán
válasz Brown ügynök #1 üzenetére
Ha van lehetőség SQL injection-ra, mert az oldal készítői benézték, akkor nem nagy művészet bejutni... Ha meg nem nézték be, akkor nem lehet vele bejutni. Elég egyszerű képlet. "SELECT akarmi FROM blabla WHERE id =" + id => nyilvános kivégzés a főtéren, család ivartalanítása, stb.
-
Samus
addikt
Na igen, kaptam is a mailt...igaz, azóta már párszor váltottam jelszót, és a használt fiókomba egyébként is sok spam jön, de a Gmail szűrője jól működik.
Azért kedves, hogy a Nokia elnézésem kéri. Én elnézem neki, most az egyszer, de többé ne forduljon elő (erről most eszembe jutott a Macskajaj idevágó jelenete, nem idéznék, mert nem olyan szavak voltak benne, ami ideillő lenne...).
'' Az élet egyszerű. Döntéseket hozol és nem nézel vissza.'' // Tomorrow's just your future yesterday!
-
ch003067
addikt
Ennek a feltörésért vajon hány pont jár ??
Amúgy ciki...
-
Inv1sus
addikt
válasz Brown ügynök #1 üzenetére
Ennyi. Sok ember azt gondolja, hogy mások úgyse fogják azon a ponton támadni a rendszert, ami nekik két-háromnapos meló lenne, így nem csinálják meg rendesen. Vannak ilyen tapasztalataim sajnos.
Az pedig gáz, hogy SQL injection-nal jutottak be. Ez nagyon alap támadási mód.
[ Szerkesztve ]
*** WEBDESIGN, GRAFIKUS DESIGN, FRONT-END PROGRAMOZÁS ***
-
ddekany
veterán
Ez valószínűleg inkább figyelmetlenség vagy a szaktudás hiánya, mivel szinte semmi plusz munkát nem jelent védekezni ellene. Főleg a tipikus LAMP-os webes programozók közül sokaknak magas az ilyesmi, amikor több nyelv összefonódik (pl. PHP + SQL), nem értik mi az amit végül is az adatbázis szerver megkap, vagy hogyan van ez az egész...
-
Brown ügynök
senior tag
Nem is tudom melyik a rosszabb: a figyelmetlenség vagy a szaktudás hiánya. Minden felhasználótól érkező adatnál alap lenne egy escape string. Az a meglepő, hogy az elmúlt hónapokban is egy csomó nagyvállalat weblapját törték fel, volt ahol ezt módszert alkalmazták. Azért elvárná az ember, hogy ilyen helyeken hozzáértőket alkalmaznak akik ilyen amatőr hibát nem vétenek.
Azért is voltam kicsit hitetlen az SQL injection-nel kapcsolatban mert könnyen kivédhető támadásnak tűnt.
"hacsak nem jön a jó tündér break utasítás képében..."
-
ddekany
veterán
Mondjuk ehhez vastagon hozzátartozik az is, hogy nem elég hogy a gyorstalpalt (indiai, kínai, gábordénesi... ) és nem érdeklődő programozó olyan amilyen, a PHP platform készítői erre rádobtak egy lapáttal a maguk elsöprően sikeres inkompetenciájával. Először ugye volt a magic_quotes nevű csoda, de mivel állandóan gondot okozott (jééé), ezt elavultnak nyilvánították. Ám az alap PHP-s adatbázis kezelő könyvtárak csak ilyen string összefűzéses szart támogatnak, magyarul akkor most pakolásszál minden beszúrt változó köré mysql_real_escape_string(...)-t (azért ilyen viccesen hosszú a neve, hogy Csen/Rhajan/Pisti még inkább ne akarja odatenni), amit ha egyszer is valahol kifelejtesz, VAGY az előtte lévő idézőjelet kifelejted a befogadó sztringből, akkor ott az SQL injection lehetősége. Hát gratulálok. (Természetesen az idézőjel kifelejtésétől a magic_quotes sem védett.) Persze most már van PDO (meg mysqui), de ha nem alap, hogy mindenhol elérhetőek, akkor sokan ódzkodnak tőlük.
-
floatr
veterán
Ez a hülyeség platformfüggetlen. Itt is akadt néhány kolléga, akik nem szeretik a jdbc paramétereket.
A másik hasonló állat a HTML encoding, bár az nem annyira brutálisan kártékony, de session-lopni azzal is lehet, ha gagyi a rendszer. Gondolom az sem volt itten védés alatt
-
=Mentor=
őstag
"Jótékony" oldalfeltörő, talán még meg is kéne köszönni neki?
-
ddekany
veterán
Nyilván, de legalább alap, hogy vannak, és ha jól rémlik mindig is voltak JDBC paraméterek. A HTML encoding... na az a másik. Csomó környezetben még mindig nem alap, hogy HTML template-ekben alapértelmezésben kódolunk, és csak ha explicit ki van jelentve, hogy nem kell, csak akkor nem. Ez tehát megint a (korai) eszközök hibája. Na de amúgy nem meglepő, hogy így állunk, elvégre az egész netes felzúdulás nincs még 20 éves... Ahogy elnézem az értelmesebb körökből jövő új framework-ökben ezek a dolgok már alapvetőek.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Politika
- Formula-1
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Asztalos klub
- Sorozatok
- TCL LCD és LED TV-k
- Kínai, és egyéb olcsó órák topikja
- Redmi Note 12 Pro - nem tolták túl
- Luck Dragon: Asszociációs játék. :)
- Testreszabható aktív zajszűrős fejhallgatót mutatott be a Dyson
- További aktív témák...
- Pavilion ce3010nh 14" FHD IPS i5-1035G1 MX130 16GB 512GB NVMe magyar bill., gar
- Precision 7560 15.6" FHD IPS i7-11850H Quadro T1200 32GB DDR4, 512GB NVMe gar
- Lenovo G550 Laptop / Intel / Nvidia / Win10
- HP - LENOVO 13-DB 15.6" LAPTOPOK,HIBÁTLANOK,TÖLTŐVEL,WINDOWS RENDSZERREL,WEB KAMERÁVAL,AKCIÓS ÁRON!!
- XPS 9315 13.4" 4K+ érintő i7-1250U 16GB 512GB NVMe ujjlolv, IR kam., gar
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen