Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

code-injection

Cerchi consigli per migliorare il tuo sito? Vuoi aprire un sito in poco tempo?
Discuti con altri webmaster, chiedi chiarimenti ed opinioni in tutta libertà.
Lo spam verrà cancellato.

code-injection

Messaggioda Celtik » dom ott 14, 2007 1:22 am

[rolleyes] da quando ho installato il Nuke-Sentinel e ho deliberato l'invio di mail ad ogni "abuse" (tentativo di hacking) al mio Sito.......beh, raga; vengo sommerso !!! Tipo 15/20 mails almeno, al giorno. Mi son preso la briga di verificare queste mails. Il risultato è stupefacente, almeno per me. Ossia, l'attacco viene effettuato attraverso una "shell"-php ospitata su un server infetto e indirizzata (ritengo da un bot, nn da un cretino qualunque) al mio sito. Bene, dalla mail di "attack" ho clikkato sull'url dell' attaccante.......meraviglia delle meraviglie......mi si è parato innanzi un Server completamente disarmato, su cui potevo scrivere/cancellare/modificare.......la "cosa" dura qualche ora.......poi l' "attaccante" spegne l' exploit e si torna alla normalità. Il giorno dopo, si RICOMINCIA......... E' tutto un Mondo, inesplorato.......e il povero webmaster ???? [8)]
"Dal fumo uscirono cavallette che si sparsero sulla terra...." (Apocalisse 9,3)
The Revolution is NOW.....!!!!
Avatar utente
Celtik
Silver Member
Silver Member
 
Messaggi: 1663
Iscritto il: gio giu 24, 2004 10:11 pm
Località: Voltana (Bassa Romagna)

Messaggioda eDog » dom ott 14, 2007 9:11 am

Beh..un webmaster serio non sceglierebbe mai qualsiasi applicazione *nuke per il suo sito [rotolo]
eDog,
"È meglio essere temuti o rispettati? Io dico: è troppo chiedere entrambe le cose?" - Tony Stark
Avatar utente
eDog
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3679
Iscritto il: sab dic 30, 2006 7:58 pm
Località: Vescovana (Padova)

Re: code-injection

Messaggioda Boo » dom ott 14, 2007 9:26 am

Povero me, predicatore nel deserto, non so quante volte ho infamato il nome di Php-Puke, e anche a te personalmente Celtik...
Tutto questo accade perché chi programma non restringe le variabili ai tipi che si aspetta. In molti casi l'injection più articolata viene fatta scrivendola addirittura nell'URI.

Senza entrare nel dettaglio e senza insegnare niente a nessuno, quando scrivi un codice in php restringi sempre le variabili per il tipo che aspetti.
Ad esempio:

Codice: Seleziona tutto
$variabile= $_POST['variabile'];

accetta qualsiasi tipo, quindi si potranno scrivere vere e proprie query SQL sfruttando questa variabile.
Mentre:
Codice: Seleziona tutto
$intero = intval($_POST['intero']);

accetterà solo un numero intero come tipo di variabile.

Leggi sul manuale di PHP le pagine su intval, floatval e strval, e abbandona PHP-Puke.

Saluti G.B.
Avatar utente
Boo
Silver Member
Silver Member
 
Messaggi: 1276
Iscritto il: sab dic 04, 2004 3:41 pm

Re: code-injection

Messaggioda Celtik » dom ott 14, 2007 1:58 pm

Boo ha scritto:Povero me, predicatore nel deserto, non so quante volte ho infamato il nome di Php-Puke, e anche a te personalmente Celtik...

[applauso+] [applauso+] OK, Maestro........lo so, eccome se lo so. Hai predicato nel deserto, infatti son ancora qua a "sbattermi" con il nuke (o puke, come lo chiami te)...... E ti chiederai, a distanza di anni, "come mai". Bene, senza scivolare in OT: il nuke mi ha sempre affascinato, non tanto per la sua integrità o robustezza (pari a zero meno zero) quanto per la "modularità" e la predisposizione alla "personalizzazione", scritto per chi di php non ne capisce mezza. Ora, le varie patches che si son succedute (nn ultima la 3.3) e lo stesso Sentinel lo hanno sicuramente irrobustito, questo è certo !! L' utente, sia l' Admin che il semplice Registrato o Anonimo, non si rende conto del "traffico" che un sito in Nuke genera nell'underground una volta pubblicato.....se non per le pesanti violazioni del sito stesso, dei commenti, del forum integrato (l'altra "gioia" del Maestro, il phpbb)........ Eppure ora, con patches e Sentinel, non vengo più "violato". Ho aperto il 3d per notificare ciò che viene reso "visibile" dalle mails relative agli abuse. Altra cosa, è ovvio che se un Sito in Nuke è debole.........lo è ancora di più quel server (Linux o Win, nn fa più differenza oramai) o quei servers.......che servono agli attackers come piattaforma di lancio. Insomma, prima delle web-applications andrebbero "contestati" i manutentori di sti servers qua. Sto facendo la "collezione"........

Salutoni Andrea [^]
"Dal fumo uscirono cavallette che si sparsero sulla terra...." (Apocalisse 9,3)
The Revolution is NOW.....!!!!
Avatar utente
Celtik
Silver Member
Silver Member
 
Messaggi: 1663
Iscritto il: gio giu 24, 2004 10:11 pm
Località: Voltana (Bassa Romagna)


Torna a Sviluppo Web

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising