www.MegaLab.it

[Celtik]

da quando ho installato il Nuke-Sentinel e ho deliberato l'invio di mail ad ogni "abuse" (tentativo di hacking) al mio Sito.......beh, raga; vengo sommerso !!! Tipo 15/20 mails almeno, al giorno. Mi son preso la briga di verificare queste mails. Il risultato è stupefacente, almeno per me. Ossia, l'attacco viene effettuato attraverso una "shell"-php ospitata su un server infetto e indirizzata (ritengo da un bot, nn da un cretino qualunque) al mio sito. Bene, dalla mail di "attack" ho clikkato sull'url dell' attaccante.......meraviglia delle meraviglie......mi si è parato innanzi un Server completamente disarmato, su cui potevo scrivere/cancellare/modificare.......la "cosa" dura qualche ora.......poi l' "attaccante" spegne l' exploit e si torna alla normalità. Il giorno dopo, si RICOMINCIA......... E' tutto un Mondo, inesplorato.......e il povero webmaster ????

[eDog]

Beh..un webmaster serio non sceglierebbe mai qualsiasi applicazione *nuke per il suo sito

[Boo]

Povero me, predicatore nel deserto, non so quante volte ho infamato il nome di Php-Puke, e anche a te personalmente Celtik...
Tutto questo accade perché chi programma non restringe le variabili ai tipi che si aspetta. In molti casi l'injection più articolata viene fatta scrivendola addirittura nell'URI.

Senza entrare nel dettaglio e senza insegnare niente a nessuno, quando scrivi un codice in php restringi sempre le variabili per il tipo che aspetti.
Ad esempio:

Codice: Seleziona tutto

$variabile= $_POST['variabile'];

accetta qualsiasi tipo, quindi si potranno scrivere vere e proprie query SQL sfruttando questa variabile.
Mentre:

Codice: Seleziona tutto

$intero = intval($_POST['intero']);

accetterà solo un numero intero come tipo di variabile.

Leggi sul manuale di PHP le pagine su intval, floatval e strval, e abbandona PHP-Puke.

Saluti G.B.

[Celtik]

Povero me, predicatore nel deserto, non so quante volte ho infamato il nome di Php-Puke, e anche a te personalmente Celtik...

OK, Maestro........lo so, eccome se lo so. Hai predicato nel deserto, infatti son ancora qua a "sbattermi" con il nuke (o puke, come lo chiami te)...... E ti chiederai, a distanza di anni, "come mai". Bene, senza scivolare in OT: il nuke mi ha sempre affascinato, non tanto per la sua integrità o robustezza (pari a zero meno zero) quanto per la "modularità" e la predisposizione alla "personalizzazione", scritto per chi di php non ne capisce mezza. Ora, le varie patches che si son succedute (nn ultima la 3.3) e lo stesso Sentinel lo hanno sicuramente irrobustito, questo è certo !! L' utente, sia l' Admin che il semplice Registrato o Anonimo, non si rende conto del "traffico" che un sito in Nuke genera nell'underground una volta pubblicato.....se non per le pesanti violazioni del sito stesso, dei commenti, del forum integrato (l'altra "gioia" del Maestro, il phpbb)........ Eppure ora, con patches e Sentinel, non vengo più "violato". Ho aperto il 3d per notificare ciò che viene reso "visibile" dalle mails relative agli abuse. Altra cosa, è ovvio che se un Sito in Nuke è debole.........lo è ancora di più quel server (Linux o Win, nn fa più differenza oramai) o quei servers.......che servono agli attackers come piattaforma di lancio. Insomma, prima delle web-applications andrebbero "contestati" i manutentori di sti servers qua. Sto facendo la "collezione"........

Salutoni Andrea