Димон
Новичок
Как ломать сайты?
Данная тематика закрыта правилами форума. Но ее обсуждение необходимо, в первую очередь для того, чтобы защититься от взломов. Предупрежден - значит защищен. Зачем бояться того, что может произойти? Надо уметь от этого защищаться.
Про самую примитивщину, типа подмена данных в массиве $GLOBALS и хаки мускула квериками написано много, поэтому на это можно забить и защититься от этого на автопилоте.
Была недавно такая ситуация. Интернет-журнал проводил конкурс: кто соберет больше всего конфеток (изображения-иконки на сайте), то получит приз. Приз был хороший. Мой коллега написал движок для этой байды и все это благополучно запустили. Через пару дней, ближе к вечеру, когда работа уже сделана, мне из спортивного интереса захотелось все это добро поломать.
Итак, схема работы движка по отображению и сбору конфеток:
Для зарегистрированных юзеров случайным образом на странице выводятся картинки-вставки со ссылкой, кликнув на которую аяксом фиксируется кол-во конфеток юзера +1. Конфетка исчезает и больше там в этот день не появляется. Случайность вывода достаточно велика, и дважды в одном месте конфетки не появлялись. Максимальное число конфеток в день для юзера: 30.
Что делал хак (как быстро и много собрать конфеток):
На скорую руку, на курле был написан краулер, который ползал по всему сайту, как зарегиный юзер, и собирал эти ссылки аккуратно в файлик. Можно было и автопереход сделать, но в лом было. В итоге за 10 минут он собирал все 30 конфеток, обходя примерно 2000 страниц (сайт немаленький).
Как защититься от подвоха:
Мы забили. Авось пронесет. В этот раз прокатило.
А так решили, что если фиксировать кол-во посещенных страниц, и потом посмотреть, где их слишком много и заподозрить подвох. Но это нагрузка на мускул. Так и осталась ситуация нерешенной...
Данная тематика закрыта правилами форума. Но ее обсуждение необходимо, в первую очередь для того, чтобы защититься от взломов. Предупрежден - значит защищен. Зачем бояться того, что может произойти? Надо уметь от этого защищаться.
Про самую примитивщину, типа подмена данных в массиве $GLOBALS и хаки мускула квериками написано много, поэтому на это можно забить и защититься от этого на автопилоте.
Была недавно такая ситуация. Интернет-журнал проводил конкурс: кто соберет больше всего конфеток (изображения-иконки на сайте), то получит приз. Приз был хороший. Мой коллега написал движок для этой байды и все это благополучно запустили. Через пару дней, ближе к вечеру, когда работа уже сделана, мне из спортивного интереса захотелось все это добро поломать.
Итак, схема работы движка по отображению и сбору конфеток:
Для зарегистрированных юзеров случайным образом на странице выводятся картинки-вставки со ссылкой, кликнув на которую аяксом фиксируется кол-во конфеток юзера +1. Конфетка исчезает и больше там в этот день не появляется. Случайность вывода достаточно велика, и дважды в одном месте конфетки не появлялись. Максимальное число конфеток в день для юзера: 30.
Что делал хак (как быстро и много собрать конфеток):
На скорую руку, на курле был написан краулер, который ползал по всему сайту, как зарегиный юзер, и собирал эти ссылки аккуратно в файлик. Можно было и автопереход сделать, но в лом было. В итоге за 10 минут он собирал все 30 конфеток, обходя примерно 2000 страниц (сайт немаленький).
Как защититься от подвоха:
Мы забили. Авось пронесет. В этот раз прокатило.
А так решили, что если фиксировать кол-во посещенных страниц, и потом посмотреть, где их слишком много и заподозрить подвох. Но это нагрузка на мускул. Так и осталась ситуация нерешенной...
