"Дыры" в скриптах...
Каждый программер рано или поздно должен задать себе вопрос "Насколько мои скрипты устойчивы против взлома...". Современем его может начать мучать вопрос "Насколько эфективны мои алгоритмы защиты, может я пропустил что то важное...".
Вот собственно хотелось бы поделится опытом, критикой, ссылками на документацию и т.д.
Вот для разминки
http://www.void.ru/content/1057
http://kodsweb.ru/texts/cookie_thief_attack.txt
-------
Скажем кулхацкерам НЕТ! :)
Вот собственно хотелось бы поделится опытом, критикой, ссылками на документацию и т.д.
Вот для разминки
http://www.void.ru/content/1057
http://kodsweb.ru/texts/cookie_thief_attack.txt
-------
Скажем кулхацкерам НЕТ! :)
Могу одно сказать, качество и безопасность кода прямо пропорционально, опытности программисто, чем больше опыт.. появляется интуитивное чутье тонких\скользких моментов, так что, не удивительно что:
Хороший закер: Профессиональный сисадмин
Хороший взломщик скриптов: проф. программист
Хороший закер: Профессиональный сисадмин
Хороший взломщик скриптов: проф. программист
ИМХО чтобы обеспечить безопасность нужно
1. Тщательно проверять все входные данные
2. Знать особенности языка на котором пишешь
3. Знать стандартные методы взлома
Это все конечно банальные вещи, но многие ошибки именно из-за несоблюдения этих банальностей.
По поводу ссылок рекомендую покопаться в архивах phpclub-форума по sequrity
Там есть интересные темы, типа http://phpclub.net/talk/showthread.php?s=&threadid=17150&rand=76
1. Тщательно проверять все входные данные
2. Знать особенности языка на котором пишешь
3. Знать стандартные методы взлома
Это все конечно банальные вещи, но многие ошибки именно из-за несоблюдения этих банальностей.
По поводу ссылок рекомендую покопаться в архивах phpclub-форума по sequrity
Там есть интересные темы, типа http://phpclub.net/talk/showthread.php?s=&threadid=17150&rand=76
Цитата:
Alone, неужели ты видишь хоть какую нить ценность этой статейки ?
Уж больно все за уши притянуто в примерах, и вообще по поводу примеров - хе-хе, здесь я согласен с Joker'ом насчет приобретения опыта, нихватает его в этой статье ;)=
imho perldoc perlhack - куда полезнее лишний раз перечитать ;)= (хотя это не относится к теме уязимостей скриптов.)
Вобщем ключевая фраза
"Если вводимые и впоследствии отсылаемые данные на защищенном домене никак
не контролируются или контролируются плохо"
А вот если эти данные контролируются, и причем неплохо, то тогда чего автор посоветует - боржими попить???
Хех ладно сдаюсь :)
Действительно не подумавши запостил...
Уж слишком это широкая темка...
Действительно не подумавши запостил...
Уж слишком это широкая темка...