Questo sito utilizza cookies, anche di terze parti, per mostrare pubblicità e servizi in linea con il tuo account. Leggi l'informativa sui cookies.
Username: Password: oppure
PHP - come creare un exploit in php
Forum - PHP - come creare un exploit in php

Avatar
giordanomalandra (Normal User)
Newbie


Messaggi: 15
Iscritto: 29/09/2012

Segnala al moderatore
Postato alle 15:19
Domenica, 30/09/2012
sono mesi che sto cercando un semplicissimo codice di un exploit in php ma non ho trovato niente
potreste darmi il codice di un exploit in php e spiegarmi il suo funzionamento
fin ora ho viste exploit in c
ho gia posto questa domanda ma è stata bannata
non ho cattive intenzioni semplicemente vorrei sapere come funziona un exploit php perche siccome sto creando una specie di socialnetwork vorrei difenderlo da questi tipi di attacchi
GRAZIE 1000

PM Quote
Avatar
Roby94 (Member)
Guru


Messaggi: 1127
Iscritto: 28/12/2009

Segnala al moderatore
Postato alle 16:50
Domenica, 30/09/2012
Beh se la metti in questi termini le cose cambiano <.< In PHP solitamente gli exploit sono di tipo SQL Injector; cercano di modificare le query attraverso i campi input non controllati usati in una query sql, se cerchi trovi degli esempi per SOLA informazione. Per difendersi da questi attacchi basta passare tutti i dati che arrivano da metodi POST e GET per la funzione mysql_real_escape_string http://php.net/manual/en/function.mysql-real-escape-string ... pensata appunto per difendere il server da questo tipo di exploit.
Altri attacchi da cui conviene sempre difendere i propri script sono gli Cross-site scripting che sfruttano il linguaggio js; in pratica si tratta di inserire in una pagina solitamente con dati prelevati da db uno script javascript malevolo. Per esempio se questo forum non fosse protetto da questo tipo di attacco scrivendo <script>alert("Alert");</script> al caricamento del topic si visualizzerebbe un alert (Ovviamente il codice per attacchi non è un semplice alert :rofl: ). Per questo tipo di exploit basta convertire i caratteri > < con htmlentities all'inserimento o al prelevamento dei dati da stampare dal db. Questi sono i principali exploit dai cui devi difendere i tuoi script.


La programmazione è arte... fa che i tuoi script siano degni di un museo.
PM Quote
Avatar
nessuno (Normal User)
Guru^2


Messaggi: 5475
Iscritto: 03/01/2010

Segnala al moderatore
Postato alle 19:38
Domenica, 30/09/2012
E perché vorresti imparare a scriverli?


Ricorda che nessuno è obbligato a risponderti e che nessuno è perfetto ...
PM Quote
Avatar
()
Newbie


Messaggi:
Iscritto:

Segnala al moderatore
Postato alle 18:44
Lunedì, 01/10/2012
Testo quotato

Postato originariamente da nessuno:

E perché vorresti imparare a scriverli?



Quoto nessuno....infatti sia gli injector e gli exploit servono per causare danni ad altri e credo che in mano a persone diciamo che sono tutt'altro che con qualche grammo di sale in zucca, sono del tutto inutilizzabili, e potresti causare addirittura danni alla tua stessa macchina...discorso cambia se servono per difenderti.

In caso sia il primo caso sei "leggermente" fuori dal regolamento  :rotfl:

PM Quote
Avatar
Qwertj (Dev Team)
Guru


Messaggi: 678
Iscritto: 30/05/2011

Segnala al moderatore
Postato alle 12:50
Mercoledì, 03/10/2012
Non hai bisogno di imparare a scriverne uno per evitarli... bastano buone abitudini di programmazione e un attento escaping dell'input utente
Oltre ai classici GET e POST, non scordare eventuali valori memorizzati nei cookie e una buona gestione delle sessioni (che comunque ti sconsiglio di usare)

P.S.
L'attacco si chiama SQL Injection non Injector


Blog:
<coming soon>
Appalo:
http://www.appalo.it/
PM Quote
Avatar
giordanomalandra (Normal User)
Newbie


Messaggi: 15
Iscritto: 29/09/2012

Segnala al moderatore
Postato alle 18:19
Venerdì, 05/10/2012
grazie a tutti sopratutto a roby94

PM Quote
Avatar
giordanomalandra (Normal User)
Newbie


Messaggi: 15
Iscritto: 29/09/2012

Segnala al moderatore
Postato alle 18:20
Venerdì, 05/10/2012
grazie a tutti sopratutto a roby94

PM Quote
Avatar
alex1995 (Normal User)
Expert


Messaggi: 212
Iscritto: 27/01/2011

Segnala al moderatore
Postato alle 16:12
Venerdì, 26/10/2012
usa strip_tags() su tutti i form intval() se la variabile deve contenere un dato numerico e metti la full path in ogni altro script che includi


PM Quote