Veľkonočná akcia je tu a s ňou aj extra kredity ZADARMO na náš interaktívny e-learning. Dobij si teraz kredity a posuň sa vo svojej kariére vpred!
Zarábaj až 6 000 € mesačne! Akreditované rekvalifikačné kurzy od 0 €. Viac informácií.

Diskusia – Obrana proti útoku Mass assignment v PHP

Späť

Upozorňujeme, že diskusie pod našimi online kurzami sú nemoderované a primárne slúžia na získavanie spätnej väzby pre budúce vylepšenie kurzov. Pre študentov našich rekvalifikačných kurzov ponúkame možnosť priameho kontaktu s lektormi a študijným referentom pre osobné konzultácie a podporu v rámci ich štúdia. Toto je exkluzívna služba, ktorá zaisťuje kvalitnú a cielenú pomoc v prípade akýchkoľvek otázok alebo projektov.

Komentáre
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovedá na sweetboi
Martin Konečný (pavelco1998):17.3.2014 9:11

Ale přesně o tom ten článek je. Viděl jsem spoustu DB dotazů, které byly náchylné na SQL inject. Určitě může být někdo, kdo to dělá tímhle způsobem. Cílem bylo ukázat, že takový útok existuje, jak ho lze provést a jak se mu bránit. Není nikde řečeno, že se taková chyba dělá běžně.

Odpovedať
+3
17.3.2014 9:11
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
David Hartinger
Vlastník
Avatar
Odpovedá na sweetboi
David Hartinger:17.3.2014 10:14

Nojo, arogance a hloupost. Vůbec netušíš, které bije. Hidden pole do formuláře přidá útočník, ne autor stránky. Mass assignment útok byl proveden proti známým webům v ROR. Že je v db sloupec admin si můžeš být jistý na 90%, stejně jako že je v ní tabulka users a podobně. Jsou to nejčastější pojmenování.

Editované 17.3.2014 10:14
Odpovedať
+1
17.3.2014 10:14
New kid back on the block with a R.I.P
Avatar
sweetboi
Člen
Avatar
sweetboi:17.3.2014 10:27

no jestli je to tak, tak ty "zname" weby si to zaslouzily a kazdy, kdo pojmenovava inputy stejne jako pole v DB a ten, kdo sklada SQL z prichozich POSTu a i ten, ktery si IDcka posila v hiddenu :-) Btw. ja sloupec admin nepouzivam :-)

 
Odpovedať
-3
17.3.2014 10:27
Avatar
David Hartinger
Vlastník
Avatar
Odpovedá na sweetboi
David Hartinger:17.3.2014 10:43

Jak je vidět, tak nemáš žádné zkušenosti s vývojem webových aplikací a v životě jsi nedělal s žádným frameworkem a nikdy jsi neviděl reálný projekt. Opravit ty nesmysly co jsi napsal je asi nad mé síly. Běž si prosím prostudovat alespoň základy PHP.

Odpovedať
+2
17.3.2014 10:43
New kid back on the block with a R.I.P
Avatar
michalkasparec
Tvůrce
Avatar
michalkasparec:17.3.2014 10:58

Nejvíc se mi líbí lidi, co očividně snědli rozum světa a bez jakéhokoli důkazu nebo ukázky toho co udělali, tak jen pomlouvají začínající programátory a odrazují je od učení...

 
Odpovedať
17.3.2014 10:58
Avatar
David Hartinger
Vlastník
Avatar
Odpovedá na michalkasparec
David Hartinger:17.3.2014 11:04

Michale, pokud je to narážka na mě, tak si nejdříve přečti co sem ten člověk psal a jakým způsobem to psal. Raději odradím jednoho začátečníka (a ještě arogantního) než abych tu nechal diskuzi, ze které by si mohlo plno začátečníků vyvodit nějaké nepravdivé závěry.

Odpovedať
+2
17.3.2014 11:04
New kid back on the block with a R.I.P
Avatar
michalkasparec
Tvůrce
Avatar
Odpovedá na David Hartinger
michalkasparec:18.3.2014 7:39

Promiň zapomněl jsem dát reakci. To určitě není na tebe, ale na toho (s prominutím) vola, co psal před tebou. Celá ta reakce byla na toho sweetboi.
Omlouvám se za nepřesnost. Proti tobě bych neřekl jediné křivé slovo. Tebe se na to moc vážím.

 
Odpovedať
18.3.2014 7:39
Avatar
asanos
Člen
Avatar
asanos:29.3.2014 21:17

1. Máš v plánu pokračovat dalšími články v téhle sekci?
2. Nezdá se ti to jako "návod" pro útočníka?
3. Nechtěl by jsi napsat zmínku o OWASP Top Ten a dál pokračovat například podle něj, nebo je to velké sousto?

  • Vím, že například o XSS by se dalo mluvit hodiny a hodiny. A jeden článek by teda vše podstatné asi nevystihl.
  • Máš teda už nějaké představy, kam to spěje?

Předem děkuji za odpověďi.

Odpovedať
29.3.2014 21:17
Na světě je 10 typů lidí. Ti, kteří rozumí binárce a ti co nerozumí.
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovedá na asanos
Michal Žůrek - misaz:29.3.2014 21:20

návod pro útočníka = návod pro obránce. Aby ses dokázal ubránit musíš vědět jak se útočí, stejně tak pokud chceš točit musíš vědět jak se brání.

 
Odpovedať
+9
29.3.2014 21:20
Avatar
asanos
Člen
Avatar
Odpovedá na Michal Žůrek - misaz
asanos:29.3.2014 21:25

Jj, tohle si také myslím. Sám jsem si říkal, že bych něco napsal. Ale zase je tady problém, že se najde určitě někdo, kdo toho zneužije.

Odpovedať
29.3.2014 21:25
Na světě je 10 typů lidí. Ti, kteří rozumí binárce a ti co nerozumí.
Robíme čo je v našich silách, aby bola tunajšia diskusia čo najkvalitnejšia. Preto do nej tiež môžu prispievať len registrovaní členovia. Pre zapojenie sa do diskusie sa zaloguj. Ak ešte nemáš účet, zaregistruj sa, je to zadarmo.

Zobrazené 10 správy z 27.