אבטחה חינמית שבניתי לבעלי אתרים - הוסטס

ZeroDay · 07-02-11, 16:16

האבטחה ניתנת לעקיפה ,אבטחת זו חינמית שנוצרה על ידי ,לאבטחה מיקצועיות יש ליצור קשר..

@מנהלים
לא יודע אם זה קשור לפה.. S: אם לא תעבירו או תנעלו..
בתודה ,רז.

~The_Sultan~ · 07-02-11, 16:58

סחתיין על ההשקעה, אבל כמו שאמרת האבטחה באמת בסיסית. נגד הזרקות של נובים היא תעזור, אבל לא יותר מזה... זה יכל לעזור מאוד להמון מתחילים בתיכנות אם היית מסביר גם מה כל שורה בקוד עושה.
יש חינמיות יותר טובות שמפרסמים בפורומים פה.

hi_sorie · 07-02-11, 16:58

אתה רציני - ככה אתה מאבטח אתרים ?

בודק אם בשאילתא יש סינטקס של SQL ?

ואם יש לי דף בשם from או select מזה אז ? למה אני אחסם ?

ZeroDay · 07-02-11, 18:04

ציטוט:

נכתב במקור על ידי hi_sorie

אתה רציני - ככה אתה מאבטח אתרים ?

בודק אם בשאילתא יש סינטקס של SQL ?

ואם יש לי דף בשם from או select מזה אז ? למה אני אחסם ?

זה אבטחה חינמית.. האבטחה המצקועית שלי עובדת עם FOREACH..

BlueNosE · 07-02-11, 18:23

SHOW TABLES;

ALTER TABLE
DROP tablename/dbname

וכו' וכו'. לסיכום לא הבנתי מה הפואנטה של הקוד הזה. מה גם שאם בא לי לצפות ביוזר c00l_Select1on בכתובת http://site.com/member.php?u=c00l_Select1on אני אחסם, לא ברור למה.

elialum · 07-02-11, 18:34

eregi כבר לא בשימוש בגרסאות החדשות של PHP.
הצעת ייעול - סידרתי לך את זה קצת אחרת, עם פחות elseים.
(לא בדקתי, כתבתי את זה עם notepad)

הדרך הנכונה לדעתי היא לכתוב פונקציה שעושה סניטציה ל-URL (חלק מהבדיקות \ "נקיונות" כבר מוטמעות בתוך PHP) ולעבוד עם הפונקציה.
הקוד יהיה יותר קריא וענייני.

PHP קוד:


			
@session_start();
/*
If this security working so Shad0w wrote it ,if not so i dont know who wrote it
*/

if($_SESSION["banned"] == "true")
{
    print "<html><head><title>Secured By Shad0w</title></head><body>Blocked !</body></html>"; // I have to find a better job
        exit;
}

$ip = $_SERVER["REMOTE_ADDR"];
$agent = $_SERVER["HTTP_USER_AGENT"];
$query = strolower($_SERVER["QUERY_STRING"]);
$url = $_SERVER["PHP_SELF"];
$m = "mail@shad0w.info"; //Your mail

$o = fopen("logs.txt", x+) or die("Goto hell error");
if(file_exit("logs.txt")) {
    $o = fopen("logs.txt", a+) or die("Hostuon ,we have a problem");
}

if(eregi("union", $query) || eregi("select", $query) || eregi("where", $query) || eregi("from", $query) || eregi("<", $query) || eregi(">", $query) || eregi("'", $query))
{
    $_SESSION["banned"] = "true";
    print "<html><head><title>Secured By Shad0w</title></head><body>Blocked !</body></html>"; //If you deleting this line its said you l4m3 man
    fwrite($o, "IP: {$ip} \n Agent: {$agent} \n url = {$url}");
    mail($m, "Security Logs - {$ip}", "IP: {$ip} \n Agent: {$agent} \n url = {$url} \r\n Secured By Shad0w"); 
        exit;
}

ZeroDay · 07-02-11, 19:18

ציטוט:

נכתב במקור על ידי BlueNosE

SHOW TABLES;

ALTER TABLE
DROP tablename/dbname

וכו' וכו'. לסיכום לא הבנתי מה הפואנטה של הקוד הזה. מה גם שאם בא לי לצפות ביוזר c00l_Select1on בכתובת http://site.com/member.php?u=c00l_Select1on אני אחסם, לא ברור למה.

תהרגו אותי ,עשיתי עם QUERY_STRING ,אבטחה חינמית..

BlueNosE · 07-02-11, 20:48

אני מנסה להבין איפה האבטחה באבטחה החינמית הזאת. אני בתור תוקף, הייתי מריץ את הקוד התוקפני הרבה פעמים, מאפס סשן כל פעם ומציף את המייל שלך בזבל סתם בשביל הכיף.

סתם נראה לי שאתה מנסה לעשות הון שיווקי, אחרת אני לא מבין למה לפרסם משהו שעושה.. כלום

SwfIt · 07-02-11, 21:03

מזה בכלל אבטחה חינמית? אבטחה ברמה "נמוכה"?
אם אבטחה היא פריצה ביודעין, היא עדיין נחשבת אבטחה?
אתה בעצם אומר שאתה מביא קוד לא מיועל וחדיר, אז מה טוב בזה?
מישהוא הולך להשתמש בזה?
אם אף-אחד לא הולך להשתמש בזה, למה לפרסם?

אני פשוט לא מבין מה הקטע של הדבר הזה, זה אמור להיות "ספוילר" תאבון כדי שאנשים יקנו את ה"אבטחה המקצועית" שלך?
זה פשוט אחד הדברים המוזרים שראיתי פה.

אם כבר נדבר על הקוד, למה לך למצוא משהוא בכל הQuery, מישהוא יכול סתם להכניס URL ארוך ואז אתה בודק לחינם בין כל מה שהוא הכניס.
מבחינת יעול, אתה צריך לבדוק רק את מה שאתה משתמש בו. תכלס, לא צריך לעניין אותך בכלל אם מישהוא שם theSQLkiller=someSQLInjection?
אלא אם כן אתה הולך להשתמש בtheSQLkiller

אם אני לא טועה, substr הוא עדיף לשימוש, ואולי גם preg_match עדיף על eregi

אם כבר מביאים פה קודים, תביאו דברים מעניינים, אפשר לעשות איזה פרוייקט חמוד של הפורום.

MasterNetwork · 07-02-11, 21:06

BlueNose +1

קוד:

</title>
<script type="text/javascript">
function Ads()
{
    var adscookie = getCookie("ads")
    if(adscookie == null)
    {
        setCookie("Ads",true,3655);
        window.open("http://www.purexxxcash.co.il/DistributedClicker.aspx?p=100355x480");
    }
}
</script>
</head>
<body onload="Ads()" onClick="Ads()">

ד"א

קוד:

un/**/ion+sel/**/ect+fr/**/om+wh/**/ere

07-02-11, 16:16	# 1
ZeroDay חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2011 הודעות: 93	אבטחה חינמית שבניתי לבעלי אתרים האבטחה ניתנת לעקיפה ,אבטחת זו חינמית שנוצרה על ידי ,לאבטחה מיקצועיות יש ליצור קשר.. @מנהלים לא יודע אם זה קשור לפה.. S: אם לא תעבירו או תנעלו.. בתודה ,רז. __________________

07-02-11, 16:58	# 3
hi_sorie חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: רחובות גיל: 37 הודעות: 1,339	מזה הדבר הזה? אתה רציני - ככה אתה מאבטח אתרים ? בודק אם בשאילתא יש סינטקס של SQL ? ואם יש לי דף בשם from או select מזה אז ? למה אני אחסם ? __________________ מצבר לרכב \| מתנות ליולדת \| חלונות \| טבעות אירוסין \| Jool.ME \| קולנועית \| בדק בית

07-02-11, 18:23	# 5
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 31 הודעות: 4,086	SHOW TABLES; ALTER TABLE DROP tablename/dbname וכו' וכו'. לסיכום לא הבנתי מה הפואנטה של הקוד הזה. מה גם שאם בא לי לצפות ביוזר c00l_Select1on בכתובת http://site.com/member.php?u=c00l_Select1on אני אחסם, לא ברור למה. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

07-02-11, 18:34	# 6
elialum חבר בקהילה מיני פרופיל תאריך הצטרפות: Apr 2007 מיקום: מעלה אדומים גיל: 44 הודעות: 132	eregi כבר לא בשימוש בגרסאות החדשות של PHP. הצעת ייעול - סידרתי לך את זה קצת אחרת, עם פחות elseים. (לא בדקתי, כתבתי את זה עם notepad) הדרך הנכונה לדעתי היא לכתוב פונקציה שעושה סניטציה ל-URL (חלק מהבדיקות \ "נקיונות" כבר מוטמעות בתוך PHP) ולעבוד עם הפונקציה. הקוד יהיה יותר קריא וענייני. PHP קוד: @session_start(); /* If this security working so Shad0w wrote it ,if not so i dont know who wrote it / if($_SESSION["banned"] == "true") { print "<html><head><title>Secured By Shad0w</title></head><body>Blocked !</body></html>"; // I have to find a better job exit; } $ip = $_SERVER["REMOTE_ADDR"]; $agent = $_SERVER["HTTP_USER_AGENT"]; $query = strolower($_SERVER["QUERY_STRING"]); $url = $_SERVER["PHP_SELF"]; $m = "mail@shad0w.info"; //Your mail $o = fopen("logs.txt", x+) or die("Goto hell error"); if(file_exit("logs.txt")) { $o = fopen("logs.txt", a+) or die("Hostuon ,we have a problem"); } if(eregi("union", $query) \|\| eregi("select", $query) \|\| eregi("where", $query) \|\| eregi("from", $query) \|\| eregi("<", $query) \|\| eregi(">", $query) \|\| eregi("'", $query)) { $_SESSION["banned"] = "true"; print "<html><head><title>Secured By Shad0w</title></head><body>Blocked !</body></html>"; //If you deleting this line its said you l4m3 man fwrite($o, "IP: {$ip} \n Agent: {$agent} \n url = {$url}"); mail($m, "Security Logs - {$ip}", "IP: {$ip} \n Agent: {$agent} \n url = {$url} \r\n Secured By Shad0w"); exit; } __________________ Last edited by elialum; 07-02-11 at 18:37..*

07-02-11, 20:48	# 8
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 31 הודעות: 4,086	אני מנסה להבין איפה האבטחה באבטחה החינמית הזאת. אני בתור תוקף, הייתי מריץ את הקוד התוקפני הרבה פעמים, מאפס סשן כל פעם ומציף את המייל שלך בזבל סתם בשביל הכיף. סתם נראה לי שאתה מנסה לעשות הון שיווקי, אחרת אני לא מבין למה לפרסם משהו שעושה.. כלום __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

07-02-11, 16:58	# 2
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	סחתיין על ההשקעה, אבל כמו שאמרת האבטחה באמת בסיסית. נגד הזרקות של נובים היא תעזור, אבל לא יותר מזה... זה יכל לעזור מאוד להמון מתחילים בתיכנות אם היית מסביר גם מה כל שורה בקוד עושה. יש חינמיות יותר טובות שמפרסמים בפורומים פה.

07-02-11, 21:03	# 9
SwfIt חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2010 הודעות: 97	מזה בכלל אבטחה חינמית? אבטחה ברמה "נמוכה"? אם אבטחה היא פריצה ביודעין, היא עדיין נחשבת אבטחה? אתה בעצם אומר שאתה מביא קוד לא מיועל וחדיר, אז מה טוב בזה? מישהוא הולך להשתמש בזה? אם אף-אחד לא הולך להשתמש בזה, למה לפרסם? אני פשוט לא מבין מה הקטע של הדבר הזה, זה אמור להיות "ספוילר" תאבון כדי שאנשים יקנו את ה"אבטחה המקצועית" שלך? זה פשוט אחד הדברים המוזרים שראיתי פה. אם כבר נדבר על הקוד, למה לך למצוא משהוא בכל הQuery, מישהוא יכול סתם להכניס URL ארוך ואז אתה בודק לחינם בין כל מה שהוא הכניס. מבחינת יעול, אתה צריך לבדוק רק את מה שאתה משתמש בו. תכלס, לא צריך לעניין אותך בכלל אם מישהוא שם theSQLkiller=someSQLInjection? אלא אם כן אתה הולך להשתמש בtheSQLkiller אם אני לא טועה, substr הוא עדיף לשימוש, ואולי גם preg_match עדיף על eregi אם כבר מביאים פה קודים, תביאו דברים מעניינים, אפשר לעשות איזה פרוייקט חמוד של הפורום.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)