Web Security

Gra w skojarzenia

Wtorek 14 Lipiec

dach�wka ;P

Wtorek 14 Lipiec

tu te� znalaz�em :

www.radiogdansk.pl

Fajny videoart o ataku AFD

Wtorek 14 Lipiec

http://rs97.rapidshare.com/files/140043343/AFD.rar

Super wszystko jasno i zrozumiale...

Wtorek 14 Lipiec

jak wygl�da taki kod ?

Gra w skojarzenia

Poniedziałek 25 Maj

dach XD

Gra w skojarzenia

Poniedziałek 25 Maj

Parcour (po kumpli -> Dach -> Sekiuritki :p)

Co to AFD

Pištek 15 Maj

AFD to b��d polegaj�cy na pobraniu wybranego pliku z serwera.
Hackerzy cz�sto pobieraj� pliki konfiguracyjne do np bazy danych

Pištek 15 Maj

Niegro�ny b��d , ale b��d co b��d jest ;]
przyk�ad :
http://forum.warbirds.pl/memberlist.php?mode[]=bug
http://forum.warbirds.pl/groupcp.php?mode[]=bug

Jest jeszcze tego baardzo du�o ;]

PS Wieczorem lookne w pliki i naprawi� b��d , a nast�pnie podam art jak naprawi� ;]

RFI - zabezpieczenie

Pištek 15 Maj

Witam. Przedstawiam filmik , kt�ry nakr�ci�em (Atak RFI oraz Obrona przed tym atakiem)
Link : http://www.sendspace.pl/file/xNEYf5lk/

UWAGA ! . Po wykorzystaniu obrony opisanej w filmiku powstaje LFI (local file include) ,
Polecam ten art : http://www.websecurity.pun.pl/viewtopic.php?id=11

zabezpieczenie przed XSS w inpucie

Pištek 15 Maj

Kod:

Od tej pory jak wpisze si� w inpucie co� typu "elo

elo

" znaczniki html zostan� wyprintowane a nie wykonane.

Pištek 15 Maj

Bardzo cz�sto pojawia si� XSS w wyszukiwarce (poni�ej dam przyk�ady)
Wpiszcie to :

Kod:

websecurity.pun.pl

w wyszukiwarkach nast�puj�cych WWW:

Kod:

http://www.akademicka.pl/
http://www.odk.pl/
i wiele wiele innych

Radz� wam filtrowa� tre�� za pomoc� funkcij

Kod:

strip_tags();

LFI - podstawowe zabezpieczenie

Pištek 15 Maj

UWAGA. Aby przeczyta� ten artyku� musisz zna� podstawy PHP

Napiszemy prosty skrypt kt�ry b�dzie w zale�no�ci od innego nr id wy�wietla� inny plik (?id=1 itp ;]).
Niedo�wiadczony webmaster robi tylko takie 4 linijki kody

Kod:

Bardzo du�o razy spotka�em si� z tym b��dem.
jak damy sam powy�szy skrypt b�dzie wy�wietlany ka�dy plik jaki sobie za�yczymy ;]
np
?id=etc/passwd
Jak wida� jest to gro�ny b��d ;] jak si� przed nim broni� :P
Opisz� podstawowy skuteczny spos�b. Po prostu przypiszemy funkcjami "if" ka�dy osobny plik.
Powiedzmy , �e mamy pliki:
-index.php
-omnie.php
-kontakt.php
i chcemy , aby index.php wy�wietla� si� gdy id b�dzie r�wne 1 (?id=1)
omnie.php gdy id b�dzie r�wne 2
a kontakt.php b�dzie wy�wietlany gdy id b�dzie r�wne 3.
ma�o tego zrobimy ,aby wy�wietla�a si� strona g��wna gdy id b�dzie 0 ;]
code b�dzie wygl�da� tak :

Kod:

$id=$_GET["id"];
if(empty($id)) {           // Sprawdza czy plik jest pusty
include('index.php');     // Je�eli tak jest wy�wietla si� strona g��wna.
}
if ($id == 1) {         // je�eli $id b�dzie r�wne 1 
include('index.php'); // poka� plik index.php
} elseif ($id == 2) { //..
include('omnie.php'); //..
} elseif ($id == 3) { //..
include('kontakt.php'); //..
} else { // w innym wypadku
include('index.php');  // poka� index.php
}

I teraz po wpisaniu ?id=etc/passwd pojawi si� strona g��wna;]
By Mafialt

siema ;]

Pištek 15 Maj

Witam. Mam na imi� Mateusz. Interesuje si� hackingiem oraz Security. Martwi mnie to , �e jest pe�no stron podatnych na b��dy , przez nieumy�lno�� Web Mastera. Uwielbiam filmy fantastyczne jak : "Eragon","Dragon BOOL Film" ;].

Pištek 15 Maj

Na stronie
http://www.cracovia.pl/main_index.php
zosta� wykryty powa�ny b��d typu SQL I , mo�na nim wyci�gn�� passy do konta admina.
B��d zosta� zg�oszony , lecz nikt nie reaguj�
SCEERN :
http://i44.tinypic.com/r0oapk.png

Co to XSS

Czwartek 14 Maj

Cross-site scripting (XSS) – spos�b ataku na serwis WWW polegaj�cy na osadzeniu w tre�ci atakowanej strony kodu (zazwyczaj JavaScript), kt�ry wy�wietlony innym u�ytkownikom mo�e doprowadzi� do wykonania przez nich niepo��danych akcji. Skrypt umieszczony w zaatakowanej stronie mo�e obej�� niekt�re mechanizmy kontroli dost�pu do danych u�ytkownika.