Questo sito utilizza cookies solo per scopi di autenticazione sul sito e nient'altro. Nessuna informazione personale viene tracciata. Leggi l'informativa sui cookies.
sono mesi che sto cercando un semplicissimo codice di un exploit in php ma non ho trovato niente
potreste darmi il codice di un exploit in php e spiegarmi il suo funzionamento
fin ora ho viste exploit in c
ho gia posto questa domanda ma è stata bannata
non ho cattive intenzioni semplicemente vorrei sapere come funziona un exploit php perche siccome sto creando una specie di socialnetwork vorrei difenderlo da questi tipi di attacchi
GRAZIE 1000
Beh se la metti in questi termini le cose cambiano <.< In PHP solitamente gli exploit sono di tipo SQL Injector; cercano di modificare le query attraverso i campi input non controllati usati in una query sql, se cerchi trovi degli esempi per SOLA informazione. Per difendersi da questi attacchi basta passare tutti i dati che arrivano da metodi POST e GET per la funzione mysql_real_escape_string http://php.net/manual/en/function.mysql-real-escape-string ... pensata appunto per difendere il server da questo tipo di exploit.
Altri attacchi da cui conviene sempre difendere i propri script sono gli Cross-site scripting che sfruttano il linguaggio js; in pratica si tratta di inserire in una pagina solitamente con dati prelevati da db uno script javascript malevolo. Per esempio se questo forum non fosse protetto da questo tipo di attacco scrivendo <script>alert("Alert");</script> al caricamento del topic si visualizzerebbe un alert (Ovviamente il codice per attacchi non è un semplice alert ). Per questo tipo di exploit basta convertire i caratteri > < con htmlentities all'inserimento o al prelevamento dei dati da stampare dal db. Questi sono i principali exploit dai cui devi difendere i tuoi script.
Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
---
Il grande studioso italiano Bruno de Finetti ( uno dei padri fondatori del moderno Calcolo delle probabilità ) chiamava il gioco del Lotto Tassa sulla stupidità.
()
Newbie
Messaggi: Iscritto:
Postato alle 18:44
Lunedì, 01/10/2012
Testo quotato
Postato originariamente da nessuno:
E perché vorresti imparare a scriverli?
Quoto nessuno....infatti sia gli injector e gli exploit servono per causare danni ad altri e credo che in mano a persone diciamo che sono tutt'altro che con qualche grammo di sale in zucca, sono del tutto inutilizzabili, e potresti causare addirittura danni alla tua stessa macchina...discorso cambia se servono per difenderti.
In caso sia il primo caso sei "leggermente" fuori dal regolamento
Non hai bisogno di imparare a scriverne uno per evitarli... bastano buone abitudini di programmazione e un attento escaping dell'input utente
Oltre ai classici GET e POST, non scordare eventuali valori memorizzati nei cookie e una buona gestione delle sessioni (che comunque ti sconsiglio di usare)
P.S.
L'attacco si chiama SQL Injection non Injector
). Per questo tipo di exploit basta convertire i caratteri > < con htmlentities all'inserimento o al prelevamento dei dati da stampare dal db. Questi sono i principali exploit dai cui devi difendere i tuoi script. 
