Меню
Что нового?

Взламывает ли PHP-программист чужие скрипты?

Взламывает ли PHP-программист чужие скрипты?

  • Нет. По моральным причинам.

    Голосов: 2 5,4%

  • Нет. Есть более интересные занятия.

    Голосов: 10 27,0%

  • Только если есть исходники. (Open Source)

    Голосов: 4 10,8%

  • Да. В порядке "теста" ;-)

    Голосов: 15 40,5%

  • Да!!! Это же настоящий спорт.

    Голосов: 6 16,2%
  • Всего проголосовало
    37

SeazoN

Guest
Взломывает ли PHP-программист чужие скрипты?

Собственно опрос. Ну, давай народ - колись ;-).
 

SeazoN

Guest
Ну незнаю, способов много.
От различных опрерациий с вводом данных, до обрыва выполнения скрипта в "нужный момент" и нахождения критичных мест по времени выполнения на тему "...max execution time in ... on line..." или "...Cannot connect to mysql..."
 
tony2001

tony2001

TeaM PHPClub
иногда просто ради собственного интереса =)
но потом честно шлю хозяевам ссылку.
 

IamSysAdm

Guest
Вообще говоря, взламывать надо прежде всего свои скрипты. ИМХО, ставя ту или иную защиту надо понимать от чего ты пытаешься защититься. Понятно, что если реализовано все, чтобы ты сам не мог себя взломать, это не гарантирует полной безопасности, ибо всегда найдется програмер знающий больше тебя. Но и слепо применять различные рекомендации из всяких умных статей не стоит. Поясню свою мысль. Зачем скажем делать проверку переменной введенной юзером, ну типа intval($id), не стоит ли сначала просто поэкспериментировать, а что будет если ввести что-нибудь не то. По своему опыту скажу, что в большинстве случаев ничего страшного не происходит... особенно если отключен вывод сообщений об ошибках в браузер.
Кстати, если код не открытый и вывод ошибок отключен, то взломать даже криво написанный скрипт практически невозможно.
 
tony2001

tony2001

TeaM PHPClub
>Кстати, если код не открытый и вывод ошибок отключен, то
>взломать даже криво написанный скрипт практически
>невозможно.
угу...
PHP: 
include($QUERY_STRING);
попробуй не взломай...
 

IamSysAdm

Guest
Автор оригинала: tony2001
>Кстати, если код не открытый и вывод ошибок отключен, то
>взломать даже криво написанный скрипт практически
>невозможно.
угу...
PHP: 
include($QUERY_STRING);
попробуй не взломай...
Нажмите для раскрытия...
А как ты узнаешь, что переменная зовется именно QUERY_STRING ? Обычный прием с введением неверных данных, чтобы посмотреть сообщение об ошибке здесь не прокатит.
 

su1d

Старожил PHPClubа
иногда просто по набору параметров видно: что получает скрипт, и как он это использует. в самых тупых случаях (у меня был такой один) видишь полный SELECT в запросе, меняешь его на TRUNCATE, и, зловеще хихикая, жмёшь Enter.

я сторонник шоковой терапии, и считаю, что те, кто пишет ТАКИЕ скрипты должны очень сильно страдать, чтобы хоть чему-то научиться. само собой, ни о каких жестах доброй воли "у вас там баг" речи не идёт, т.к. пару раз у меня уже были проблемы из-за того, что админы вместо "спасибо" орали "держи хакера!". =(
 
Raziel[SD]

Raziel[SD]

untitled00
Вот поэтому я редко сообщаю об ошибках, людям доброе дело делаешь, ничего не портишь (хотя можешь), а они так неблагодарно поступают :(.
 

Arthur

Good Member
Автор оригинала: su1d
само собой, ни о каких жестах доброй воли "у вас там баг" речи не идёт, т.к. пару раз у меня уже были проблемы из-за того, что админы вместо "спасибо" орали "держи хакера!". =(
Нажмите для раскрытия...
АНАЛогично. Попытался потестить явно кривой форум (на Перле) сотового оператора (местного).
То что я натворил, хотя я ничего плохого не делал ( просто в поле НИК ввёл всякую хрень) Визуально выявилось.
После чего меня кикнули по ip, а у меня выделенка.
Пришлось доставать свой старенький модем и написать мессагу админам, что я типа тут не причём. Я как простой юзер ввел всякую хрень и всё. Там не написано же что вводить, а что не вводить. Но это не помоголо. Пришлось через знакомых сис админов виходить на сис. админа Того сайта, что бы с меня сняли бан. Короче полный АБЗДОЛЬЦ.

Так что я пришёл к выводу, тестировать надо или с модема или с инет клуба. :D

Но это дело не благодарное Всё Ж...
 

SeazoN

Guest
вместо "спасибо" орали "держи хакера!". =(
Нажмите для раскрытия...
Нет чтоб поправить и настроить бэкап - они грозят нанять братков (слова конечно, но жил бы ты поближе к Москве... Впрочем как и я :)
 
tony2001

tony2001

TeaM PHPClub
IamSysAdm:
ты вообще поищи по ману, по форуму что такое $QUERY_STRING...
 

IamSysAdm

Guest
Автор оригинала: tony2001
IamSysAdm:
ты вообще поищи по ману, по форуму что такое $QUERY_STRING...
Нажмите для раскрытия...
Ну виноват, сразу не обратил внимания...
Просто в реале до такого сложно додуматься, хотя...
 
tony2001

tony2001

TeaM PHPClub
если немного поискать, то можно найти еще сайты, которые юзают index.php?page=aaa и include($page);
 

Romantik

TeaM PHPClub
Ну этот метод давно описывался. Тот у кого ДЫРА это вообще полный .... ДАУН! :)
 

Ямерт

The Old One
Забавные результаты появляются там же и при поиске по фразе "Warning MySQL Query Failed" ;)
 

SeazoN

Guest
Поиск ошибок в поисковиках - не совсем то.
Как правило интересна адрессность,
(хотя и в этом деле они могут помочь).
Да и не все лажают.
К примеру создать атаку запросами на search.php где неоптимизированный поиск по нехилой базе.
Как правило PHP настроен с ограничением коннектов к БД и таймлимитом.
 

Alien

Новичок
Бесит когда пишешь людям о баге, а его никто и не чешется фиксить...
 
Войдите или зарегистрируйтесь для ответа.
Сверху