Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Da li je ovaj sajt podlozan SQL Ubrizgavanju?

[es] :: PHP :: PHP za početnike :: Da li je ovaj sajt podlozan SQL Ubrizgavanju?

[ Pregleda: 2236 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Boyka
BPS

Član broj: 287185
Poruke: 338
*.dynamic.isp.telekom.rs.



+33 Profil

icon Da li je ovaj sajt podlozan SQL Ubrizgavanju?14.12.2012. u 16:19 - pre 137 meseci
http://zid2proba.comlu.com/

ovo je samo test primerak kojim zelim da proverim da li je moguce ovaj sajt hakovati, i sta da uradim da bih sprecio, pozdrav.
 
Odgovor na temu

PHPovac

Član broj: 300013
Poruke: 168
*.dynamic.isp.telekom.rs.



+19 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?14.12.2012. u 16:26 - pre 137 meseci
Ne verujem, ako hoćeš pošalji mi kod da izvršim analizu i da ti kažem.
Ovako mi ne deluje, mada nemam vremena da probam blind sql injection.
 
Odgovor na temu

ivan.a
PHP developer

Član broj: 83976
Poruke: 403
*.dynamic.isp.telekom.rs.



+44 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?14.12.2012. u 21:47 - pre 137 meseci
Zaštiti direktorijum sa slikama i skriptama (kao i sve ostale direktorijume). Najbolje uz pomoć .htaccess.
Stavi Analytics kod pre zatvaranja html taga (nema veze sa pitanjem, ali deluje ružno).

Admin panel vodi ka nekom process.php koji ne postoji (lako se nalazi admin panel). Mislim da nema potrebe da koristiš multipart/form-data kod administratorske prijave.?

Skini par alatki za testiranje sajta (security). Npr:
http://sqlmap.org/
Havij



I hope I didn't brain my damage - Homer
if (wife.position == kitchen) {return sandwich};
 
Odgovor na temu

Boyka
BPS

Član broj: 287185
Poruke: 338
*.dynamic.isp.telekom.rs.



+33 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?15.12.2012. u 10:16 - pre 137 meseci
Citat:
ivan.a: Zaštiti direktorijum sa slikama i skriptama (kao i sve ostale direktorijume). Najbolje uz pomoć .htaccess.
Stavi Analytics kod pre zatvaranja html taga (nema veze sa pitanjem, ali deluje ružno).

Admin panel vodi ka nekom process.php koji ne postoji (lako se nalazi admin panel). Mislim da nema potrebe da koristiš multipart/form-data kod administratorske prijave.?

Skini par alatki za testiranje sajta (security). Npr:
http://sqlmap.org/
Havij


Aha, je l' mozes samo da mi pojasnis kako da zastitim slike preko htaccess-a, guglao sam, ali nisam nasao nista korisno...

u .htaccessu imam 2 linije koda, prva je komentar da sledecu liniju koda ne brisem u suprotnom mod_rewrite nece raditi,
a druga linija koda je ovo RewriteBase /

je l' sada mozda trebam samo dodati direktorijum koji zelim zastiti
RewriteBase / slike ?

Analytics code za sta to sluzi?

Hvala za alate :)
 
Odgovor na temu

ivan.a
PHP developer

Član broj: 83976
Poruke: 403
*.dynamic.isp.telekom.rs.



+44 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?15.12.2012. u 11:27 - pre 137 meseci
Napravi novi .htaccess fajl i dodaj npr ovaj kod:
Code:
Options -Indexes
Options -ExecCGI 
AddHandler cgi-script .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi

.htaccess fajl stavi u direktorijum sa slikama, fajlovima, .js ...
U svaki dirketorijum stavi i index.html.
I hope I didn't brain my damage - Homer
if (wife.position == kitchen) {return sandwich};
 
Odgovor na temu

Boyka
BPS

Član broj: 287185
Poruke: 338
*.dynamic.isp.telekom.rs.



+33 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?15.12.2012. u 13:06 - pre 137 meseci
E hvala puno, stavio sam u svaki dir .htaccess sa tim kodom,

nisam te samo razumeo za index.html, je l' to treba da kreiram index.html(prazan?) u svaki dir ili da na root-u gde mi je index.php apendujem nove linije koda, one gore sto si ti naveo?

EDIT: Skapirao, stavio sam svuda prazan index.html sem admin folder :)

[Ovu poruku je menjao Boyka dana 15.12.2012. u 14:30 GMT+1]
 
Odgovor na temu

Boyka
BPS

Član broj: 287185
Poruke: 338
*.dynamic.isp.telekom.rs.



+33 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?15.12.2012. u 14:16 - pre 137 meseci
hmmm a kako da sprecim da kada neko ukuca

zid2proba.comlu.com/admin/php/process.php da mu se ne skida fajl na komp?
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2242
*.dynamic.isp.telekom.rs.

Sajt: https://hardcoder.xyz


+2247 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?17.12.2012. u 01:16 - pre 137 meseci
Nisam siguran da li hoće ovako, ali probaj da na samom početku process.php fajla dodaš i ovo

Code (php):


if(!htmlspecialchars($_SERVER['HTTP_REFERER']) header('Location:'.$your_own_url);

 

about:networking
 
Odgovor na temu

PHPovac

Član broj: 300013
Poruke: 168
*.dynamic.isp.telekom.rs.



+19 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?17.12.2012. u 06:28 - pre 137 meseci
Izbaci onaj htaccess fajl iz foldera php
 
Odgovor na temu

Boyka
BPS

Član broj: 287185
Poruke: 338
*.dynamic.isp.telekom.rs.



+33 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?17.12.2012. u 11:04 - pre 137 meseci
Citat:
plus_minus: Nisam siguran da li hoće ovako, ali probaj da na samom početku process.php fajla dodaš i ovo

Code (php):


if(!htmlspecialchars($_SERVER['HTTP_REFERER']) header('Location:'.$your_own_url);

 

Kada to uradim onda index.php ne moze da komunicira sa php fajlovima gde postoji taj kod :/

Je l' vam nije problem da proverite sledece kodove, mislim da je sve ok i da je problem do hostinga, kontaktirao sam veratnet i rekli su mi da je kod njih normalno, ali da ce danas preko dana izvrsiti detaljni test sajta, vrlo je moguce da je moja IP adresa blokirana od strane servera, zato probajte vi da udjete ovde:
http://zid2.com/new/admin/index.php

da li vam otvara CPanel, ili vas preusmerava na protect.php, odnosno Login stranu?

kod koji koristim u index.php pre html-a je:
Code (php):

session_start();
if($_SESSION['user']!="user" && $_SESSION['pass']!="pass")
{
    header('Location:protect.php');
}
?>
posle ovog ide html deo
 

Pazite cudo, kada zamenim header('Location:protect.php'); sa echo 'Proba';
ispisuje se proba, sto znaci da sesija radi, ali header ne, kao da ne moze naci protect.php, a protect.php se nalazi u istom folderu gde i index.php, isti taj kod na besplatnom hostu http://zid2proba.comlu.com/admin/ radi savrseno

Sesija je ponistena logout(session_start();session_destroy()), probao na razlicitim browserima, ali isto...
A ovi iz hosta kazu da im otvara normalno, protect.php kad se udje na index.php
 
Odgovor na temu

plus_minus

Član broj: 289459
Poruke: 2242
*.dynamic.isp.telekom.rs.

Sajt: https://hardcoder.xyz


+2247 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?17.12.2012. u 13:52 - pre 137 meseci
Ne bi trebalo da ne može da komunicira, jer to mu u prevodu znači da link mora da ima referera direktno sa hosta gde se nalazi skripta. Refering url. Ako je refering url sa istog hosta, nema redirekcije.
Dakle, kada staviš tako nešto, to znači da bookmark, jok. Neće da šljaka. Ručno kucana lokacija koja ukazuje na tu i tu stranicu, jok. Redirekcija i u tom slučaju.

Jedan od mogućih razloga za tako nešto (ne može da komunicira sa php fajlovima) jeste to što sam loše ispisao primer (sad sam i primetio), nisam zatvorio zagradu, fali još jedna na kraju, a na serveru warning i notice - OFF.


about:networking
 
Odgovor na temu

Boyka
BPS

Član broj: 287185
Poruke: 338
*.dynamic.isp.telekom.rs.



+33 Profil

icon Re: Da li je ovaj sajt podlozan SQL Ubrizgavanju?17.12.2012. u 14:50 - pre 137 meseci
Zanimljivo je kako se sada uz .htaccess pojavljuje 403 u fajlovima gde je bitno(tj radi posao), a ranije je skidao fajl?
Ja mislim da mene ozbiljno server zeza, evo dobio sam potvrdu da kod drugih IP adresa admin CMS sesija normalno radi, a kod mene ne.

Citat:
plus_minus: Ne bi trebalo da ne može da komunicira, jer to mu u prevodu znači da link mora da ima referera direktno sa hosta gde se nalazi skripta. Refering url. Ako je refering url sa istog hosta, nema redirekcije.
Dakle, kada staviš tako nešto, to znači da bookmark, jok. Neće da šljaka. Ručno kucana lokacija koja ukazuje na tu i tu stranicu, jok. Redirekcija i u tom slučaju.

Jedan od mogućih razloga za tako nešto (ne može da komunicira sa php fajlovima) jeste to što sam loše ispisao primer (sad sam i primetio), nisam zatvorio zagradu, fali još jedna na kraju, a na serveru warning i notice - OFF.


Komunicira :), samo sto nema svrhu da to ubacujem u glavni root, jer bi nesto radilo (redirect), pa onda obicnim posetiocima bi trazio recimo login(ako bi ga ja preusmerio tako), ali za administratorske fajlove dusu dalo :)))

Hvala svima, sta ga vas i ima :)
 
Odgovor na temu

[es] :: PHP :: PHP za početnike :: Da li je ovaj sajt podlozan SQL Ubrizgavanju?

[ Pregleda: 2236 | Odgovora: 11 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.