[«Nsl»]

Peste tot pe unde am vazut, am gasit si unele site-uri hackuite,sau chestii de genul asta!Iti este frica la un moment dat sa iti faci un site, forum........
1-Intrebarea este: Absolut toate site-urile pot fi hackuite sau nu!?
Am observat ca unii vorbesc ceva de genul asta :" Am un site phbb.." sau ceva de genul asta...
2-Ce sunt acestea?(phbb.etc.) Limbaje de scriere a paginilor!? Ce sunt?
Multumesc si abia astept sa aflu!

[argv]

Nu toate site-urile pot fi .. da-ni-l pe al tau sa-l testam phpbb este un forum

[«Nsl»]

Nu mi-am facut...am intrebat..........
Dar explica-mi ce sunt alea cu phpbb sau alte denumiri...limbaje?! ce?!

[argv]

phpbb este un forum, cum ar fi acesta pe care activam noi cu atata sarg (doar ca asta este alt program numit IPB) Este programat in php, probabil de acolo vine numele.

More about it: http://www.phpbb.com/

[«Nsl»]

Dar...de exemplu....voua de ce nu va e frica sa nu fie hackuit acest forum? Exista masuri pe care le-ati luat?
(nu vreau sa il hackuiesc...suna .....aiurea.......dar daca vrei poti explica despre alte siteuri mai mari..)

Ce masuri se iau!?

[dAImon]

ia-o la modul simplist : cand un website este accesat, serverul este accesat si iti serveste o pagina de index (sau cea ceruta explicit in link). bun. daca ai in fundal o baza de date, poti intra pe server doar prin link injection (linkuri care exploateaza vulnerabilitati in limbajul Sql, spre exemplu).

sau te conectezi ftp (in loc de http://) , iar daca serverul nu a fost securizat bine, poti avea acces direct sa manipulezi fisiere. unele nu te lasa sa faci nici macar listarea fisierelor din root daca nu esti logat prima data.

[argv]

De frica ar trebui sa-l intrebi pe Bogdan, noi suntem doar niste bagatori de seama. Cum spune si daimondul ; in general se pot hackui site-urile prost programate si prost configurate. Daca atunci cand programezi ceva in site, te astepti ca userul sa introduca datele exact cum trebuie si nu testezi acest lucru atunci ai sanse mari sa il sparga careva. Dar este cazul la orice aplicatie. Dar la un site personal ce conteaza ca-l sparge sau nu; Problema se pune doar la site-urile de banci, e-comert, etc acolo unde se pot produce pagube mari

[«Nsl»]

Cum se explica chestia cu "te astepti sa userul sa introduca datele exact cum trebuie"?
De ce e vulnerabilitatea mai mare?

[argv]

EiNsTeIn'S~SoUl, la Aug 29 2008, 11:53 PM, a spus:

Cum se explica chestia cu "te astepti sa userul sa introduca datele exact cum trebuie"?
De ce e vulnerabilitatea mai mare?

Exemplul clasic de SQL Injection este:
- ai o BD SQL in care pastrezi userii si parolele
- la login userul introduce numele si parola sa se poata loga
- in program se creeaza un request sql care sa selecteze inregistrarea WHERE username='user introdus' and pass='parola introdusa'
- daca tu recuperezi datele introduse si formezi direct query-ul SQL vei avea o problema pentru ca cineva ar putea introduce:

Username = admin' //
Password = orice

si atunci vei avea conditia WHERE username='admin' //' and pass='orice'

Caracterele // fiind comentariu in SQL, persoana respectiva se va putea loga ca admin cu orice parola

[«Nsl»]

Argv, la Aug 30 2008, 01:31 AM, a spus:

- in program se creeaza un request sql care sa selecteze inregistrarea WHERE username='user introdus' and pass='parola introdusa'
si atunci vei avea conditia WHERE username='admin' //' and pass='orice'

WHERE ala e cuvant in SQL ?

Citeaza

- daca tu recuperezi datele introduse si formezi direct query-ul SQL vei avea o problema pentru ca cineva ar putea introduce:

Ce vrei sa spui cu recuperatul? Dupa eroarea data ca nu e bine ce ai introdus, sa fie inca scrise acolo?
Cum sa formez "coada" SQL , ce e?
Pana la urma,SQL se transmite la baza de date prin login-uri sau link-uri(cum baga aia exploit)?????
Scz de curiozitate,asa sunt eu! Mi-am propus sa invat SQL,dar nu am facut-o!
Deocamdata sunt noob la acest capitol(cum de altfel a fost oricine)......
Ti-as fi recunoscator daca ai raspunde si ai avea rabdare!

Citeaza

Vreau si eu un www cu specific amenajare peisagera si irigatii de la o firma specializata.

De ce ai postat aici?!?!?!?!?!?!?!??
Click Aici pentru informatii suplimentare!

Argv, la Aug 30 2008, 01:31 AM, a spus:

- in program .....

Care program!? Browserul sau ala care manipuleaza DB!?