С того момента, как я ввел слева меню для выбора месяца, за который вы хотите просмотреть сообщения на блоге, сайт был уязвимым к SQL Injection. Дабы избежать проблем с безопасностью, все входные параметры проходят фильтрацию в централизованной функции, но именно дату и год я брал не из фильруемого массива $_GET, а из автоматом создаваемых переменных $y и $m. Без какой-либо фильтрации значения этих переменных вливалось в запрос со всеми вытекающими последствиями.
И вот тут возникает резонный вопрос - почему меня до сих пор не взломали? Если посмотреть по другим сайтам, то мой сайт с программамми сканируют и пытаются взломать по 10 человек в день минимум. Там у меня стоит система журналирования, по которой я всегда могу узнать, какие запросы отправлялись серверу и реистрируются все необычные попытки обращений. Один раз я так вычислил свою ошибку, которую почему-то не нашли хакеры, хотя были рядом. Там я тоже по случайности один параметр использовал в обход централизованного фильтра
На других сайтах я не ставил такого журналирования, в надежде на свою внимательность (хотя она меня и подводит). Раз меня не взломали, возникает два объяснения: не смогли или не хотели. Взлом усложняло и то что не было сообщений об ошибках. Во второе вериться меньше, особенно после того, как я немного обсуждал OpenSource. Я думаю, большинство линуксоидов хотело меня взломать после моих высказываний.
Надеюсь, что сайт остался жив потому, что его посещают те, кому нравиться мой труд и кто не будет ломать. Я могу защитить свой ресурс в пределах разумного, ведь не все зависит от меня. Я могу фильтровать параметры, но если уязвим сам сервер у хостера, то хакеры могут уничтожить мой сайт, и я только смогу развести руки.
P.S. Вот написал эти слова и сообразил, что мой блог на английском построен на тех же сценариях и там та же проблема. Уже исправил.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Михаил, я тебя взламывать не собирался. Меня интересовало только как работает твой блог и хотел посмотреть пхп-код.
А труд программистов я уважаю и во вред не действую.
Думаю не нужно делать всем вызов подобной статьёй ))
Я не делаю вызов, я радуюсь, что дырявый сайт не взломали и это приятно. Я надеюсь, что просто не хотели взломать потому что не могу гарантировать абсолютную безопасность, ибо не все зависит от меня.
т е хаки могут полностью уничтожить ваш сайт, без возможности восстановления чтоли?
Нехорошо если так, Михаил, предпринимайте оборонительные меры
На сайте была уязвимость по моей вине и серьезная уязвимость. Сейчас она исправлена и проблем нет. Все, что я могу сделать, я сделал. Остальное уже зависит от хостера. Если он будет обновлять софт, то проблем не должно быть.
Но то, что за такой срок не взломали - уже хорошо. Значит, можно надеяться, что не взломают и в будущем, даже если где-то будет ошибка.
Блин, написал так как будто на сайте инфа о клиентах банков.
Вандализмом люди недолекие занимаются - накачают из сетей троянов и пару червей и чувствуют себя крутыми.
А людей которые профессионалы в этой области мало и на фигню типа взлома домашних страничек неотвлекаются.
Дыру исправил - молодец! Но, на мой взгляд, если тебе за защиту никто не платит (т.е. защищать нечего), то заниматься защитой нужно чисто из интереса, а афишировать это - можно, но вопрос один нахрена?
Ага, сам пишу про безопасность и в то же время абсолютно не фильтрую параметры. Тут и так в интернете хлебом не корми, дай Фленова пообсуждать, а если я еще и такие банальные ошибки буду оставлять...
Судя по логам, сайт сканируют, значит, он кому-то нужен для взлома. Может и просто интересуются, а может хотят навредить. Почему-то много народу не любят меня, хотя я же никому и ничего плохого не делал.
А каким образом ты понаезжал на OpenSource?
О каких высказываниях в адрес линуксоидов и OpenSource ты говоришь?
Не совсем наезд, но был недавно небольшой спор. Это религиозные темы, которые не хочеться обсуждать. Каждый выбирает сердцем, а я же предлагаю выбирать за качество, а не за лицензию, чтобы не было бездумного следования какой-то лицензии. Чтобы лучше понять мою позицию, почитай информацию обо мне в разделе Инфо.
Михаил/ А не могли бы написать типо урока как создать блог на подобии вашего/ А то я в php не силён? да думаю и многим было бы интересно/ Но это конечно если возможно/
Написать блог - самое простое. Простой Insert в таблицу и чтение SELECT с отображением. Достаточно прочитать одной книги по PHP (можно даже мою :)).
Михаил, если не секрет, на каком хостинге расположе ваш сайт?
Не секрет. Это легко узнается по IP адресу сайта и whois. У меня ты увидишь Ecommerce Corporation. VR хоститься на valuehost.
Тож мне портал, чтобы еще взламывал кто-то
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
