Ошибки(Халтура) в программировании ... (чем грешат даже крутые студии)

[confguru]

Ошибки(Халтура) в программировании ... (чем грешат даже крутые студии)

К сожалению, в последнее время
участились взломы сайтов написанных
на PHP.

Причем вина зачастую лежит на самих разработчиках( этих сайтов)

1 Ошибка - админская директория вообще не запаролена

Как пример можно привести сайт
http://www.mpautina.ru/ , использующий
везде в своих проектах каталог /adm - где сразу попадаешь в
администрацию сайта.
Был найден случайно - поисковой системой.

2 Ошибка - придумывается хитрое имя директории (так же не запаролена). Расчет делается на то что никто не узнает.

Узнают поисковые роботы. Я как то искал
ресторан для проведения вечеринки и случайно попал в эту директорию (делала кстати весьма известная студия - причем такой огрех был аж на 3-x ее последних сайтах)

3 Ошибка - доверие к бесплатных скриптам
(форумы,гостевые, даже порталы)

Как правило исходники доступны всем - и взламывается в течении 5-25 минут. Причем бывают такие ляпы - что приходится долго смеяться (автор просто спешит сделать чтобы работало и ладно)

4 Ошибка - Передача паролей в открытом или слабо зашифрованном виде

На многих страницах ваш пароль дописывается ко всем ссылками на страничке. Потенциальная возможность узнать его. (Просто посмотреть логи сервера или другими способами)

P.S. Пишите свои варианты ошибок ....

 

[ruslan]

1. Не сокрытие от обычного пользователя сообщений об ошибках в скрипте (пипа header already send)
2. Вываливание клиенту отладочной информации типа текста непрошедших запросов и т.п.

 

[Romantik]

Старая ошибка- не запаролен PhpMyAdmin.

 

[Vladimirovich]

Re: Ошибки(Халтура) в программировании ... (чем грешат даже крутые студии)

- часто встречается невырубленные ошибки + неизвестные расширения для include-фалов (последний раз заметил на usedcars.ru - вылетело примерно "mysql too many connection in db.inc" запросив его получаю пароли)

- еще недавно встретил офигеный способ здесь - http://technomania.ru/main.php3?/etc/passwd это они так разделы поключают =) причем подобную ошибку как-то я сам допускал по молодости =)

 

[Vladimirovich]

Re: Re: Ошибки(Халтура) в программировании ... (чем грешат даже крутые студии)

еще частенько прорехи связаны с непроинициализированными переменными. код типа

if(checkUser($login, $password)){
$logged = true;
}
....
if($logged){
restriction code
}

передаем то что непроинициализировано через GET запрос - опаньки. вариантов масса, приведенны простейший

 

[ruckus]

Автор оригинала: Versinger
28) слабая иль вообще отсутствующая проверка на то, что передается из формочек, допустим, post'ом (web.icq.com, например)

Ну случай с web.icq.com не пример....
Не всегда нужна проверка, иногда удобнее скинуть информацию, а потом уже с ней разбираться, а не парить юзера тем, что он забыл на конце / не прописал http:// или забыл www....
Это уже твои проблемы - тут и проявляется качество программиста... Юзеру не должны быть понятны принципы работы.... - и это по-моему мнению - правильно....

Ну а что касается взломов - да, согласен, большой процент именно из-за того, что пишется все на free скриптах или людьми - так сказать - на скорую руку....

 

[igorekk]

Re: Re: Ошибки(Халтура) в программировании ... (чем грешат даже крутые студии)

Автор оригинала: Vladimirovich
еще недавно встретил офигеный способ здесь - http://technomania.ru/main.php3?/etc/passwd это они так разделы поключают =) причем подобную ошибку как-то я сам допускал по молодости =)

а что можно хотеть от "студии" на chat.ru?

 

[makRo]

Re: Ошибки(Халтура) в программировании ... (чем грешат даже крутые студии)

Простая, но весьма распространённая ошибка , не буду показывать сайты, но таких я нашёл около десятка... с паролями.... )

предполагается GET -> script.php?page=page.html

/*script.php */

<html>
...
<?

include ($page);

// или fopen ($page)..

?>
...
</html>

пишем GET -> script.php?page=../ и т.п. или http://... ))

Кстати где-то есть статья в сети, про что-то вроде "Лёгкая смена дизайна", для начинающих программить на PHP.
Там так и учат ... %)))

 

[kosha]

sorry

Sorry , ch-to strannoe s mozilla tvoritsa.
Hotel skazat' chto uchat na webclub.ru

 

[Vlad1]

кавычки.

Во многих советах по ПХП советуют сразу менять одинарные кавычки и %, для защиты mysql.
Однако выше по этой ветке, видно что применяются эти самые одинарные кавычки.
Это так и должно быть ? (в смысле я что-то путаю или ошибки уже нет такой ?)

 

[DiMA]

Re: кавычки.

Автор оригинала: Vlad1
в смысле я что-то путаю или ошибки уже нет такой

это называется "слышал звон, да не знаешь где он"

 

[Vlad1]

пожалуй

Автор оригинала: DiMA
это называется "слышал звон, да не знаешь где он"

А все-таки - про кавычки и % пишут везде, а почему их нельзя применять и где - что-то не видел ничего. Где об этом подробнее посмотреть ?

 

[kauk]

Вот еще ссылки

Вот еще чего нашлось у меня в букмарках на эту тему.
http://phpclub.unet.ru/tutor/errors/en_errors.html
http://phpsec.narod.ru/

Пора сделать компиляцию всего этого и создать большой сборник.
Или не создавать большой сборник: начинающие программисты не любят больших документов.

 

[Vlad1]

Re: Вот еще ссылки

Автор оригинала: kauk
Вот еще чего нашлось у меня в букмарках на эту тему.
http://phpclub.unet.ru/tutor/errors/en_errors.html
http://phpsec.narod.ru/
Пора сделать компиляцию всего этого и создать большой сборник.
Или не создавать большой сборник: начинающие программисты не любят больших документов.

Любят, любят, давайте побольше ссылок
Вот что не любят (по крайней мере про себя - это книжки покупать. Хочется все больше в инете выкачать).
Интересные статьи - спасибо. Правда все вопросы они не сняли. А кстати анонсировано 21 ошибка, а выложены только самые слабые 7. И на оригинальном сайте только еще 2-я часть есть И то на английском

 

[confguru]

Re: Re: Вот еще ссылки

Автор оригинала: Vlad1
Любят, любят, давайте побольше ссылок
Вот что не любят (по крайней мере про себя - это книжки покупать. Хочется все больше в инете выкачать).
Интересные статьи - спасибо. Правда все вопросы они не сняли. А кстати анонсировано 21 ошибка, а выложены только самые слабые 7. И на оригинальном сайте только еще 2-я часть есть И то на английском

Остальные части сейчас переводятся клубом

 

[Fakir]

Re: Re: Re: Вот еще ссылки

http://admin.virtuale.ru/

Ну нешмагла я, не шмагла
Простое не знание...

 

[Mistique]

По-моему в большей степени все зависит от программера и от понимания им технологии...
описанные ошибки по сути типовые, большинство описано уже много раз, но не хочет народ видимо учиться на чужих ошибках... я реально сглючил(на мой взгляд..8) один раз, когда собирал композитную структуру сайт: пока все по отдельности-все работает, а начинаешь собирать-все наперекосяк...8) хотя там по большей части были косяки с инклудами и повторами функций... зато проимел ценный опыт...
мой совет-использовать по максумуму функции, обработку "на лету", а воще надобно гонять на своем серваке ну хотя бы 3 часа...и ДУМАТЬ!

 

[Konstantin]

Это прикол с db.inc если нет возможности переопределить обработку файлов или указать место для инклюдов вне пространства сервера я обхожу просто db.inc.php

 

[Sad Spirit]

Re: Re: Re: Re: Re: Вот еще ссылки

Автор оригинала: Unregistered
http://www.7wolf.ru/common.inc

Хех. Товарищ с 7wolf приходил к нам на работу устраиваться. Не взяли. Ещё раз вижу, что правильно сделали.

 

[Последний Роман]

Все о том же

Вот простите ламера но из того что вы тут пишите я ничего не понял... (наверное из-за неопытности(надеюсь))
Что еще за админские дирректории и как их паролить?
Что вообще это означает?
Кому не лень ответьте пожалуйста))