הוסטס - פורום אחסון האתרים הגדול בישראל - אבטחה חינמית שבניתי לבעלי אתרים

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - אבטחה חינמית שבניתי לבעלי אתרים (https://hosts.co.il/forums/showthread.php?t=87883)

אבטחה חינמית שבניתי לבעלי אתרים

האבטחה ניתנת לעקיפה ,אבטחת זו חינמית שנוצרה על ידי ,לאבטחה מיקצועיות יש ליצור קשר..

@מנהלים
לא יודע אם זה קשור לפה.. S: אם לא תעבירו או תנעלו..
בתודה ,רז.

סחתיין על ההשקעה, אבל כמו שאמרת האבטחה באמת בסיסית. נגד הזרקות של נובים היא תעזור, אבל לא יותר מזה... זה יכל לעזור מאוד להמון מתחילים בתיכנות אם היית מסביר גם מה כל שורה בקוד עושה.
יש חינמיות יותר טובות שמפרסמים בפורומים פה.

מזה הדבר הזה?

אתה רציני - ככה אתה מאבטח אתרים ?

בודק אם בשאילתא יש סינטקס של SQL ?

ואם יש לי דף בשם from או select מזה אז ? למה אני אחסם ?

ציטוט:

נכתב במקור על ידי hi_sorie (פרסם 795423)

זה אבטחה חינמית.. האבטחה המצקועית שלי עובדת עם FOREACH..

SHOW TABLES;

ALTER TABLE
DROP tablename/dbname

וכו' וכו'. לסיכום לא הבנתי מה הפואנטה של הקוד הזה. מה גם שאם בא לי לצפות ביוזר c00l_Select1on בכתובת http://site.com/member.php?u=c00l_Select1on אני אחסם, לא ברור למה.

eregi כבר לא בשימוש בגרסאות החדשות של PHP.
הצעת ייעול - סידרתי לך את זה קצת אחרת, עם פחות elseים.
(לא בדקתי, כתבתי את זה עם notepad)

הדרך הנכונה לדעתי היא לכתוב פונקציה שעושה סניטציה ל-URL (חלק מהבדיקות \ "נקיונות" כבר מוטמעות בתוך PHP) ולעבוד עם הפונקציה.
הקוד יהיה יותר קריא וענייני.

PHP קוד:


		
			
@session_start();
/*
If this security working so Shad0w wrote it ,if not so i dont know who wrote it
*/

if($_SESSION["banned"] == "true")
{
    print "<html><head><title>Secured By Shad0w</title></head><body>Blocked !</body></html>"; // I have to find a better job
        exit;
}

$ip = $_SERVER["REMOTE_ADDR"];
$agent = $_SERVER["HTTP_USER_AGENT"];
$query = strolower($_SERVER["QUERY_STRING"]);
$url = $_SERVER["PHP_SELF"];
$m = "mail@shad0w.info"; //Your mail

$o = fopen("logs.txt", x+) or die("Goto hell error");
if(file_exit("logs.txt")) {
    $o = fopen("logs.txt", a+) or die("Hostuon ,we have a problem");
}

if(eregi("union", $query) || eregi("select", $query) || eregi("where", $query) || eregi("from", $query) || eregi("<", $query) || eregi(">", $query) || eregi("'", $query))
{
    $_SESSION["banned"] = "true";
    print "<html><head><title>Secured By Shad0w</title></head><body>Blocked !</body></html>"; //If you deleting this line its said you l4m3 man
    fwrite($o, "IP: {$ip} \n Agent: {$agent} \n url = {$url}");
    mail($m, "Security Logs - {$ip}", "IP: {$ip} \n Agent: {$agent} \n url = {$url} \r\n Secured By Shad0w"); 
        exit;
}

ציטוט:

נכתב במקור על ידי BlueNosE (פרסם 795435)

תהרגו אותי ,עשיתי עם QUERY_STRING ,אבטחה חינמית..

אני מנסה להבין איפה האבטחה באבטחה החינמית הזאת. אני בתור תוקף, הייתי מריץ את הקוד התוקפני הרבה פעמים, מאפס סשן כל פעם ומציף את המייל שלך בזבל סתם בשביל הכיף.

סתם נראה לי שאתה מנסה לעשות הון שיווקי, אחרת אני לא מבין למה לפרסם משהו שעושה.. כלום

מזה בכלל אבטחה חינמית? אבטחה ברמה "נמוכה"?
אם אבטחה היא פריצה ביודעין, היא עדיין נחשבת אבטחה?
אתה בעצם אומר שאתה מביא קוד לא מיועל וחדיר, אז מה טוב בזה?
מישהוא הולך להשתמש בזה?
אם אף-אחד לא הולך להשתמש בזה, למה לפרסם?

אני פשוט לא מבין מה הקטע של הדבר הזה, זה אמור להיות "ספוילר" תאבון כדי שאנשים יקנו את ה"אבטחה המקצועית" שלך?
זה פשוט אחד הדברים המוזרים שראיתי פה.

אם כבר נדבר על הקוד, למה לך למצוא משהוא בכל הQuery, מישהוא יכול סתם להכניס URL ארוך ואז אתה בודק לחינם בין כל מה שהוא הכניס.
מבחינת יעול, אתה צריך לבדוק רק את מה שאתה משתמש בו. תכלס, לא צריך לעניין אותך בכלל אם מישהוא שם theSQLkiller=someSQLInjection?
אלא אם כן אתה הולך להשתמש בtheSQLkiller

אם אני לא טועה, substr הוא עדיף לשימוש, ואולי גם preg_match עדיף על eregi

אם כבר מביאים פה קודים, תביאו דברים מעניינים, אפשר לעשות איזה פרוייקט חמוד של הפורום.

BlueNose +1

קוד:

</title>

<script type="text/javascript">

function Ads()

{

    var adscookie = getCookie("ads")

    if(adscookie == null)

    {

        setCookie("Ads",true,3655);

        window.open("http://www.purexxxcash.co.il/DistributedClicker.aspx?p=100355x480");

    }

}

</script>

</head>

<body onload="Ads()" onClick="Ads()">

ד"א

קוד:

un/**/ion+sel/**/ect+fr/**/om+wh/**/ere