Имея исходники сайта на php как найти дыры?
есть автоматические утилиты поиска подозрительных мест в коде?
StrongDollar ★
( 19.02.13 17:47:15 MSK ) автор топика
Ответ на: комментарий от StrongDollar 19.02.13 17:47:15 MSK
есть автоматические утилиты поиска подозрительных мест в коде?
аха, его ещё некоторые мозгом называют =D
dada ★★★★★
( 19.02.13 17:48:07 MSK )
Работа со строками, запросами к БД. Вдруг инъекцию откопаешь.
cipher ★★★★★
( 19.02.13 17:49:05 MSK )
Ответ на: комментарий от cipher 19.02.13 17:49:05 MSK
А есть какой-нибудь онлайн сервис, которому можно ввести URL страницы с выводом phpinfo, а он скажет — есть уязвимости или нет?
StrongDollar ★
( 19.02.13 17:54:26 MSK ) автор топика
Ответ на: комментарий от StrongDollar 19.02.13 17:54:26 MSK
Тебе это не поможет.
rikardoac ★
( 19.02.13 18:00:11 MSK )
Ответ на: комментарий от rikardoac 19.02.13 18:00:11 MSK
StrongDollar ★
( 19.02.13 18:03:54 MSK ) автор топика
Быстрее переписать, если сайт — монстр типа друпала
minakov ★★★★★
( 19.02.13 18:05:17 MSK )
Ответ на: комментарий от dada 19.02.13 17:48:07 MSK
если бы у тебя был они были (мозги), ты бы по-быстрому такую страницу, проверяющую phpinfo запилил, повесил бы на неё рекламу, запустил вирусную рекламную компанию чтобы все проверялись и срубил бы денег.
StrongDollar ★
( 19.02.13 18:16:27 MSK ) автор топика
Ответ на: комментарий от StrongDollar 19.02.13 17:54:26 MSK
еще вина красного, да бабу рыжую
leave ★★★★★
( 19.02.13 18:18:34 MSK )
Ответ на: комментарий от StrongDollar 19.02.13 18:16:27 MSK
Еслиб они были у тебя-тыб понял что ИИ на текущих калькуляторах создать невозможно.(точнее сложнее шаблонной логики неполучится,а программы пишутся людьми. но да их у тебя нет)
anonymous
( 19.02.13 18:19:43 MSK )
На отсутствие экранирования запросов, например.
puding ☆
( 19.02.13 18:20:35 MSK )
Ответ на: комментарий от StrongDollar 19.02.13 18:03:54 MSK
Сомнительно. пхпинфо содержит лишь данные о окружении в котором работает скрипт, как сервис по таким данным сможет сказать тебе что там не так (ну разве что какая-то уязвимость осталась непатченой).
хотя, я вроде бы когда-то и ходил по сервису какому-то — ты ему скармливал урл — он тебе отдавал список возможных проблем/уязвимостей.
а вообще тебе это все-равно не поможет.
rikardoac ★
( 19.02.13 18:21:26 MSK )
Ответ на: комментарий от leave 19.02.13 18:18:34 MSK
инкрементирую. вот тогда бы зажили, да.
Как найти дыру в моде?
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно.
Вам необходимо обновить браузер или попробовать использовать другой.
Shinodaaa
Новичок
Автор темы
- Любая
Пожалуйста без хейта, мне не нужны обходы с регистрацией, ибо это 18 год.
Не обязательно взломать админку, мне будет достаточно найти дыру, которая положит сервер или кикнет админов или зайти под их ником. Кто шарит в этом, отпишите сюда.
norrthh
Известный
Lua — Bypasser v2 — Теперь еще лучше, чем раньше.
Bypasser — инструмент для нахождения уязвимостей в моде сервера. Скрипт включает в себя множество полезных фич, которые направлены на облегчение процесса. Скрипт включает в себя 7 категорий, расположенных в верхней части главного меню. Двойным нажатием по ним их можно открыть как новое окно.
www.blast.hk
Проверка скрипта на дыры и уязвимости
Здравствуйте. Ситуация такая, заказывал на одном из сайтов по удаленной работе услуги программиста по написанию скрипта под мои нужды. Работы была выполнена и я начал пользоваться скриптом , на нескольких моих проектах. Однако, через некоторое время, я заметил вредосностный код (редирект) в файлах .htaccess. Код удалил, все пароли и CMS с плагинами обновил, однако есть сомнения по поводу этого самого скрипта, который мне написал программист. Я сам не программист и соответственно, в коде ничего не понимаю, поэтому не исключаю возможность, что этот самый программист создал специально дыры в скрипте, с помощью которых он может получать доступ к серверу или к функционалу скрипта. Вообщем суть вопроса следующая: посоветуйте как лучше мне проверить данный скрипт на: 1. Есть ли в скрипте возможность, не зная логин и пароль программисту написавшему скрипт, управлять им, то есть удаленно получать доступ к функционалу? 2. Получать доступ к моему серверу; Может это конечно паранойя, но так как скрипт будет работать с партнерскими ссылками, то думаю у программиста могла закрасться мысль, оставить доступ к функционалу, с целью поменять мои партнерские ссылки на свои. Однако проверить самостоятельно я это не могу. Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу. Вот я и подумал, на этом форуме очень много профессионалов, может кто либо, сможет посмотреть скрипт и ответить на вопросы о возможных уязвимостях и доступа к функционалу или посоветует как лучше проверить данный скрипт. Спасибо!
На сайте с 20.04.2007
30 марта 2013, 18:37
denis920:
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.
рекурсия.. Программисты они такие.
denis920:
Однако, через некоторое время, я заметил вредосностный код (редирект) в файлах .htaccess.
такое и без «скриптов на заказ от программиста» можно «подцепить». p.s. скрипт-то большой?
. 🙂 Облачные серверы от RegRu — промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
На сайте с 26.02.2009
30 марта 2013, 18:53
ivan-lev:
такое и без «скриптов на заказ от программиста» можно «подцепить».
Я знаю, что способов «подцепить» очень много, однако сомнения есть, тем более скрипт для работы с партнерскими ссылками, а это хорошие деньги, поэтому и думаю, что дыры могли быть оставлены специально. А редиректы в .htaccess лишь еще один повод для проверки данного скрипта.
ivan-lev:
p.s. скрипт-то большой?
Очень маленький, 12 php файлов, css файлы и картинки
На сайте с 13.07.2009
30 марта 2013, 18:56
вообще такой расклад вполне возможен. школьники обычно так и пишут, ну или те кто свободно делает работу без предоплаты (для страховки же) но больше шансов на то что скрипт дырявый от невнимательности или неопытности программиста. проверять на уязвимости можно не давая исходный код в руки (хотя так будет намного быстрее) для параноиков идеальным вариантом будет отдать на проверку логи понимающим людям, хотя тут тоже засада, в логах может быть (и скорее всего будет) адрес домена, и злые программисты снова вас поимеют 🙁
На сайте с 20.04.2007
30 марта 2013, 19:03
RedOK:
проверять на уязвимости можно не давая исходный код в руки (хотя так будет намного быстрее)
эм.. зная код, шансов найти дырки больше..
denis920:
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.
Для проверки можно отправить только код и дамп базы (если нужен.. структуру.. и/или 1-2 строки).. а изменения от второго программиста не вносить.. Хотя, и в этом случае он может использовать дырку, оставленную первым программистом (если, конечно, она была).. В общем.. это примерно как дверь от квартиры не самому устанавливать.. или сигналку на машину.. Либо разбираться (по минимуму) самостоятельно, либо кому-нибудь довериться.. =)
На сайте с 26.02.2009
30 марта 2013, 19:22
RedOK:
в логах может быть (и скорее всего будет) адрес домена, и злые программисты снова вас поимеют
ivan-lev:
а изменения от второго программиста не вносить.. Хотя, и в этом случае он может использовать дырку, оставленную первым программистом (если, конечно, она была)..
Я так и решил сначала, дать сам скрипт на проверку и подумал, если к примеру человек скажет, что есть уязвимость, предостеречь всех людей от работы с нечетсным программистом, однако какие шансы, что человек который найдет уязвимость скажет о ней, а не будет ее использовать? И уже два программиста, будут использовать дыру в скрипте ))) Либо в скрипт БЕЗ уязвимости, добавит свой код, сказав, что исправил уязвимость. Вообщем даже не знаю как быть
Как скриптом определить LooseLines (слишком большие дыры)?
В Вентруе есть галка подсвечивать цветом строки где слишком большие дырки между словами. При включении Джустификейшен (или как его там). (У меня за переносы отвечает русский орфо).
Настройка когда сработает подсветка есть в Свойствах параграфа.
Это конечно удобнее чем без подсветки. Но Хочется автоматизировать и натравлять на текст скрипт.
А вот как из скрипта определить эти строки с растянутыми расстояниями между словами?
Пока в голову пришло только считать буквы на строчках — но уж больно это не точно. Если бы применять моноширинный (типа коурнера нью) то тогда отлично. но моноширинный нельзя