עכשיו ישנם שני מערכות והנה הן:
הראשונה:
PHP קוד:
<?php
ob_start();
$date = date("d.m.y");
echo $date;
אחוזי הפגיעה במערכת שבוצעו בפריצה האחרונה:";
$num1 = 0.3;
$num2 = 2;
$num3 = $num1+$num2;
echo $num3;
מספר הקבצים המאובטחים בשרת:";
$directory = "./files/*";
$dir = opendir($directory);
$i = 0;
while ($files = readdir($dir)) {
$i++;
}
echo "There Are {$i} Files On The Directory";
closedir($dir);
כתובת האיפי שלך [ברגע זה היא נשמרה במסד הנתונים]:";
funtcion ydseucirty () {
echo "$ip = $_SERVER['remote_addr'];
echo ";
echo $ip;
mysql_query("INSERT INTO `security` (ip) VALUES ('$ip')") or die(mysql_error());";
}
ydseucirty();
נתוני המשתמש מספר 1:";
include "config.php";
$select = mysql_query("SELECT * FROM `ibf_members` WHERE `id`='1'") or die(mysql_error());
$row = mysql_fetch_array($select);
echo $row['name'];
ob_end_flush();
?>
השניה :
PHP קוד:
<?php
echo sha1("
ob_start();
funtcion userone () {
echo "include "config.php";
$select = mysql_query("SELECT * FROM `ibf_members` WHERE `id`='1'") or die(mysql_error());
$row = mysql_fetch_array($select);
echo $row['name'];";
userone();
funtcion fxp () {
echo "if (isset($_COOKIE['session_id'])) {
$num1 = 0.1;
$num2 = 0.2;
$num3 = $num1+$num2;
echo $num3;
} ";
<br/>
$ip = $_SERVER['remote_addr'];
echo "כתובת ה-IP שלך היא [כרגע נשמרה במסד]: ";
echo $ip;
mysql_query("INSERT INTO `table` (ip) VALUES ('$ip')") or die(mysql_error());
ob_end_flush();");
?>
עכשיו מה שונה בהן ?
1.במערכת הראשונה לא הסרתי את ה // שהעמיס על הקוד
2.המערכת הראשונה מוצגת יותר מסודר בדף
איך נכנסים לינצול אבטחה בעצם ? , זאת הכתובת :
http://you'r site/index.php?secure
כשבמקום זה אתה שמים את כתובת אתרכם.
אז איך זה בעצם מנצל את חורי האבטחה ?, זאת לא בעייה .
זה חודר אל מסד הנתונים ומעלה את המשתמש הנרשם בעוגיה שנשמרה אצלכם במחשב לבעלים ואתם מקבלים את כול הפרטים של המשתמש מספר 1 ואת אחוזי הפגיעה במערכת
07-04-07, 04:50
תצורת אשכולות