 [MySQL][PHP]Bezpieczeństwo strony |
  |
| [MySQL][PHP]Bezpieczeństwo strony |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 695 Pomógł: 65 Dołączył: 27.07.2009 Skąd: Y Ostrzeżenie: (0%) 
 |
witam tak jak w temacie , chciałbym sprawdzić czy moja witryna jest bezpieczna , gdzie mam błędy itp . czy są narzędzia do takiego testowania stworzone (najlepiej pl)? jeśli nie to w jaki sposób mógłbym przetestować swoją witrynę na podatność ataków..
|
 |
 
|
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 62 Pomógł: 2 Dołączył: 24.02.2008 Ostrzeżenie: (0%)
|
poczytaj o sql injection, staraj sie tez w zmienne wcisnac html i zobacz jak to bedzie skutkowac, przeslij tablice zamiast inta itd, postaraj sie wylac kod php na serwer, jest mase metod ciezko to tak opisac zalezy co masz w tej swojej stronce...
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 150 Pomógł: 15 Dołączył: 1.07.2010 Ostrzeżenie: (0%)
|
Najlepiej jakbyś dał adres strony, my przetestujemy ;>
|
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 695 Pomógł: 65 Dołączył: 27.07.2009 Skąd: Y Ostrzeżenie: (0%)
|
czytałem o sql injectioni nic to nie dało .. bawiłem się w hackme gdzie nawet nie mogłem przejśc 1 poziomu..
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 150 Pomógł: 15 Dołączył: 1.07.2010 Ostrzeżenie: (0%)
|
Najlepszym sposobem na sprawdzenie czy strona ma luki typu SQL Injection jest dodawanie "-" przed zmienną w GET, czyli adresstrony.pl/link=10 to sprawdzamy adresstrony.pl/link=-10 i jak wywali błąd to bardzo prawdopodobne, że strona jest podatna na ten typ ataku. Pierwszy poziom w hackme jest banalny
Ten post edytował H4eX 11.07.2010, 14:56:41 |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 695 Pomógł: 65 Dołączył: 27.07.2009 Skąd: Y Ostrzeżenie: (0%)
|
www.moja.strona.pl/index.php?page=-10 - przekierowuje mnie na witrynę którą podałem w kodzie
|
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 150 Pomógł: 15 Dołączył: 1.07.2010 Ostrzeżenie: (0%)
|
a jak ustawisz:
www.moja.strona.pl/index.php?page= www.moja.strona.pl/index.php?page=% i nie patrz tylko na jeden GET, wszystkie trzeba sprawdzać ;] |
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 695 Pomógł: 65 Dołączył: 27.07.2009 Skąd: Y Ostrzeżenie: (0%)
|
tak samo następuje przekierowanie
|
|
|
|
|
Post
#9
|
|
 Grupa: Zarejestrowani Postów: 420 Pomógł: 44 Dołączył: 22.10.2008 Ostrzeżenie: (0%)
|
Jak chcesz sprawdzić pod kątem XSS to możesz spróbować tego XSSer
A tu masz różne narzędzia : http://www.acunetix.com/ http://www.gfi.com/lannetscan http://sectools.org/web-scanners.html (10 różnych narzędzi) http://www.nessus.org/nessus/ http://www.beyondsecurity.com/vulnerability-scanner.html swego czasu sprawdzałem jak działają i nie byłem z nich zadowolony ale może tobie uda się coś z nich wyciągnąć -------------------- Sztuką jest widzieć to czego nie widać.
|
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 150 Pomógł: 15 Dołączył: 1.07.2010 Ostrzeżenie: (0%)
|
Cytat a jak ustawisz: www.moja.strona.pl/index.php?page= www.moja.strona.pl/index.php?page=% i nie patrz tylko na jeden GET, wszystkie trzeba sprawdzać ;] Cytat(Ulysess @ 11.07.2010, 16:09:38 )  tak samo następuje przekierowanie page= page=% Na co Cię przekieruje? Jeżeli w kodzie używałeś include() lub innych podobnych funkcji to zobacz czy używałeś GET do określenia strony. |
|
|
|
|
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 62 Pomógł: 2 Dołączył: 24.02.2008 Ostrzeżenie: (0%)
|
tak jak kolega napisal gdybys podal adres bylo by o wiele latwiej zlokalizowac luki bo nieraz z kilku prostych nic nie dajacych mozna sie dostac do serwera...
a podaj cos takiego www.moja.strona.pl/index.php?page[]=1 w sesji podaj tablice jest sporo sztuczek na uzyskanie sciezek serwerowych... |
|
|
|
|
|
Aktualny czas: 20.08.2025 - 22:14 |
