лже SQL уязвимость

Discussion in 'PHP' started by phpdreamer, 25 Oct 2009.

  1. phpdreamer

    phpdreamer Member

    Joined:
    26 Jul 2009
    Messages:
    551
    Likes Received:
    86
    Reputations:
    19
    Может у кого есть готовый скрипт, который бы имитировал SQL уязвимость.
    То есть хакер тыкает кавычку в запрос, php находит что там кавычка (может и не кавычку, а знак комента, решетку, хтмл тег...) и выводит соответсвущую ошибку (якобы это ошибка на сервере). Хакер начинает крутить иньекцию, и когда составляет "запрос", то получает картинку и поздравления...."обломись, хакер"

    я такое видел на некоторых сайтах, хочу себе поставить.
     
  2. Deathdreams

    Deathdreams Elder - Старейшина

    Joined:
    8 Nov 2008
    Messages:
    479
    Likes Received:
    112
    Reputations:
    5
    Для начала нужно защитить сервер от этих уязвимостей, а потом баловатся с картинками.
     
  3. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,594
    Likes Received:
    976
    Reputations:
    783
    То что ты написал, распознать легко. Да и заебёшься ты эмулировать работу с бд. Проще создать отдельную песочницу, т.е. настоящая уязвимость но без дальнейшей возможности получить какой то толк с неё.
     
    1 person likes this.
  4. phpdreamer

    phpdreamer Member

    Joined:
    26 Jul 2009
    Messages:
    551
    Likes Received:
    86
    Reputations:
    19
    это есть ;)

    ну если взять полуготовый скрипт и его подредактировать, то не за**усь...
    а допускать настоящую уязвимость - ни к чему хорошему не преведет...
     
  5. desTiny

    desTiny Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    1,014
    Likes Received:
    444
    Reputations:
    94
    лучше не выпендривайся
     
  6. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,594
    Likes Received:
    976
    Reputations:
    783
    1. Будешь вручную забивать все возможные ошибки бд и описывать обработчики этих ошибок? Бред.
    http://dev.mysql.com/doc/refman/5.1/en/error-messages-server.html - Ты уверен что не заебёшься? Пусть даже большую часть нельзя вызвать манипуляциями с gpc, но тебе и оставшихся хватит.

    2. Если грамотно разграничить права и всё остальное, то ничего "плохого" не будет.

    ЗЫ Зачем спорить если видно по твоим постам что ты в этом плохо разбираешься?
     
  7. phpdreamer

    phpdreamer Member

    Joined:
    26 Jul 2009
    Messages:
    551
    Likes Received:
    86
    Reputations:
    19
    зачем же вбивать все ошибки?если запрос не такой как мы хотим ("правильный"), то выдаем сообщение об ошибке... без подробностей. таких сообщений хватит нескольких (для разных случаев).
    Эта задрочка про которую я написал (и видел такое сам) расчитана не на великих, а на кулхацкеров типа меня... и знаний много не нужно для ее реализации на таком уровне.
    напрасно возмущаетесь) я думал у многих уже такое заготовлено

    всем спасибо за ответы
     
  8. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,753
    Likes Received:
    1,044
    Reputations:
    339
    Спрашивать у хоцкеров "как усложнить жизнь хоцкерам". Чото у вас с логикой
     
    1 person likes this.
  9. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    Если вы изучите модуль mod_rewrite и PHPIDS то найдете ответ на свой вопрос.
     
    _________________________
    #9 ettee, 25 Oct 2009
    Last edited: 25 Oct 2009
    2 people like this.
Loading...