- Home
- Categorie
- La Community Connect.gt
- Tutto sulla Community
- Google-Hack
-
-
lo avevo già visto...
ho provato i casi proposti nel sito... molto interessanti, come sfuttarli?
-
c'è anche una serp con una marea di file di setup di forum phpBB ()
-
Ci sono molte cose interssanti,
Soprattutto si può imparare a proteggere i propri siti da
chi vuole creare problemi e sa come fare.Per mia esperienza personale nessun sito è mai al sicuro completamente,
per questo è importante conoscere tutte le possibili falle e cercare di tapparle.
-
E bello imparare e risolvere questi problemi
-
Ciao a tutti,
su Internet magazine di questo mese, c'è un'articolo dedicato a questo argomento.
Ma come ci si può proteggere da queste invasioni? :bho:
-
intanto mi viene in mente questa:
Non lasciamo mai una directory nel sito senza la pagina di default (index.htm
o simile).questo indirizzo
www.miositox.xxx/dir/dir/index.htm
come tutti sappiamo fa vedere index.htm
questo indirizzo
se esiste una index.htm fa vedere quella
se non esiste una index.htm o comunque una pagina di default fa vedere
il contenuto della directory.Personalmente metto sempre una index.htm anche nelle Dir dove non mi serve, ad esempio dove metto le immagini oppure il codice , proprio per evitare questa cosa.
-
in questa mia cartella non ho index.htm nè simili:
in ogni caso il server impedice di vedere i files
-
Ciao kerouac3001,
mi puoi spiegare come funziona?
Ciao,
-
Basta assegnare i giusti permessi ed il gioco e' fatto ma non tutti lo sanno.
SQL INJECTION e sicurezza dei file sono problemi oramai noti, ad esempio guardate qui: http://webcam.sis.edu.hk/view/view.shtml facendo una ricerca per le webcam axis ho beccato questa scuola
A proposito di sql injection ci sono centinaia di siti che presentano questo bug, il piu' grosso che ho beccato e segnalato subito e' stato godado.
Domenico
[url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
[url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
[url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C
-
Ciao Domenico,
grazie della risposta.
scusa l'ignoranza,
Basta assegnare i giusti permessi ed il gioco e' fatto ma non tutti lo sanno.
Intendi i permessi delle cartelle con il comando cmode?
SQL INJECTION e sicurezza dei file sono problemi oramai noti, ad esempio guardate qui: http://webcam.sis.edu.hk/view/view.shtml facendo una ricerca per le webcam axis ho beccato questa scuola
Vuoi dire che questa web cam che hai beccato dovrebbe essere accessibile solo con autorizzazione?
A proposito di sql injection ci sono centinaia di siti che presentano questo bug, il piu' grosso che ho beccato e segnalato subito e' stato godado.
Questo è un'argomento che mi spaventa non poco, girando su vari forum, specie quelli legati a PHP-NUKE ho potuto riscontrare che ci sono tantissimi portali, specialmente di piccole dimensioni e poco importanti, fatti oggetto di questo gioco disonesto, che non ha presumibilmente nessun'altra motivazione se non quella di fare i dispetti come i bambini.
La soluzione probabilmente c'è ma io non sono riuscito ad avere informazioni precise, :bho: quindi sono in alto mare. :bho:
Tu, puoi spiegarmi, magari con i disegnini, cosa bisogna fare in concreto per difendersi da certi deficienti? :bho:
grazie
-
Ciao,
io lavoro su server Win, presumo che sul Linux (anche se si chiamano CHMOD o come si scrive) sia la stessa cosa ma non ne sono sicuro.Se debba essere protetta non lo so, pero' e' stato facile trovarla con google e chissa quante altre ce ne sono di interessanti
Non credo che la sql injection sia un qualcosa di disonesto, e' un bug arcinoto della sintassi SQL. In asp basta fare un replace delle varibili.
Ti passo questo link (e ne approfitto per fare un po' di SPAM http://www.telospiego.it/asp/tutorial_asp_evitare_sql_injection.asp .
Domenico
[url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
[url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
[url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C
-
@emmebar said:
intanto mi viene in mente questa:
Non lasciamo mai una directory nel sito senza la pagina di default (index.htm
o simile).questo indirizzo
www.miositox.xxx/dir/dir/index.htm
come tutti sappiamo fa vedere index.htm
questo indirizzo
se esiste una index.htm fa vedere quella
se non esiste una index.htm o comunque una pagina di default fa vedere
il contenuto della directory.Personalmente metto sempre una index.htm anche nelle Dir dove non mi serve, ad esempio dove metto le immagini oppure il codice , proprio per evitare questa cosa.
Ciao Emmebar,
questo tuo consiglio, l'avevo gia sentito ma ( incautamente ) non lo ho mai preso in considerazione.
Adesso ho inserito in tutte le dir la pagina index.
Avrei una domanda, per chi sa rispondermi:
Ci sono alcune directory con un file index.php in queste non ho inserito la index.htm supponendo fosse un errore.
Ho fatto giusto? Oppure si può inserire tranquillamente?
Grazie
-
Ciao Domenico,
@Fast-Adv.it said:
Ciao,
io lavoro su server Win, presumo che sul Linux (anche se si chiamano CHMOD o come si scrive) sia la stessa cosa ma non ne sono sicuro.Si si, hai proprio ragione, si scrive cosi, sono io che mi sono mangiato le lettere.
Non credo che la sql injection sia un qualcosa di disonesto, e' un bug arcinoto della sintassi SQL. In asp basta fare un replace delle varibili.
E' senz'altro disonesto l'uso che ne fanno certi bimbi con molta cognizione ma poca intelligenza.
Si può considerare intelligente uno che mette fuori uso un sito solo per il gusto di farlo? Sarebbe come considerare intelligente chi sfregia una macchina solo per il gusto di farlo. :bho:
Ti passo questo link (e ne approfitto per fare un po' di SPAM http://www.telospiego.it/asp/tutorial_asp_evitare_sql_injection.asp .
Grazie per il consiglio, ma il mio sito è in php. Comunque, mi hai dato l'opportunità di visitare il tuo nuovo sito, complimenti, mi pare ben fatto e molto utile. Lo ho aggiunto ai preferiti.
-
@frabibbo said:
Comunque, mi hai dato l'opportunità di visitare il tuo nuovo sito, complimenti, mi pare ben fatto e molto utile. Lo ho aggiunto ai preferiti.
Quoto
-
Mi avete fatto emozionare
Mi sono informato sul come si faccia in php, e questo codice dovrebbe andare bene ($username e' la varibiale su cui viene memorizzato il dato recuperato dal modulo):
if (stristr($username,"=")) { header("location: pagina di login"); }
Domenico
[url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
[url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
[url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C
-
A proposito di sicurezza e del mio sito, vi segnalo questo articolo sulla sicurezza non strettamente legato alle pagine web ma di sicuro interesse visti i programmi citati: http://www.telospiego.it/news/articolo.asp?id=008
Domenico
[url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
[url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
[url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C
-
@Fast-Adv.it said:
Mi avete fatto emozionare
Mi sono informato sul come si faccia in php, e questo codice dovrebbe andare bene ($username e' la varibiale su cui viene memorizzato il dato recuperato dal modulo):
if (stristr($username,"=")) { header("location: pagina di login"); }
Domenico
[url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
[url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
[url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2CCiao Domenico;
noto con piacere che sei sempre pronto a correre in aiuto.
Però ho bisogno di un altro aiuto,
questo codico come funziona? E dove lo metto?
Scusa l'ignoranza ma il php non lo conosco bene :bho:
Grazie
-
Io di php ne so meno di te, la logica di funzionamento e' comunque simile ad asp.
La SQL Injection si ha in presenza di moduli (sopratutto moduli usati per il login). Mediante l'inserimento di una stringa (' or ''=' ) si ha pieno accesso all'area utente del primo utente iscritto, o se si conoscere l'username a qualunque utente (questo giusto per fare un piccolo esempio, poi si puo' utilizzare in varie forme su piu' o meno tutti i form che si interfacciano a db).
Mettiamo per assurdo di avere questo form di ricerca:
<form method=post action=pagina.asp> <input type="text" name="username"> <input type="Submit" value="Invia"> </form>
Quando andiamo a recuperare (in php non so come si faccia) il valore passato, tale valore sara' associato ad una variabile (nel caso del codice php postato in precedenza la variabile si chiamera' $username) ed una volta eseguita questa operazione si esegue un controllo.
Se tale controllo restituisce TRUE e quindi i dati sono presenti, l'utente viene indirizzato in una pagina di errore (o comunque una pagina a scelta dello sviluppatore), altrimenti il codice continua ad eseguire le sue operazioni.
Mi pare che Giorgio un po' di php lo mastica, magari lui puo' aiutarti piu' di me, o ancora meglio ti conviene fare due cose (evviva lo SPAM):
- posti nella sezione php di questo forum;
- posti nella sezione php del forum di telospiego.
Se invece decidi di cambiare e passare ad ASP, io orientativamente sia di qua che di la (fa fico sto di la ) posso aiutarti nel limite delle mie possibilita' senza alcun problema
Domenico
[url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
[url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
[url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C
-
Grazie Domenico, sei molto gentile,
cambiare da php ad asp è per me una cosa impensabile dopo avere lavorato cosi tanto per costruire questo sito.
In verità, non ho avuto bisogno di mettere molto le mani nel codice perchè ho usato un cms open source già belle pronto, ma qualche modifica ed implementazione l'ho dovuta fare e quindi ho potuto imparare, un pochino, il concetto di funzionamento.
Adesso ricominciare da capo, non me la sento proprio.
Comunque seguirò il tuo consiglio per la sezione php.