Arhive Taguri: vulnerabilitati
Vulnerabilitati PHP – Cross Site Request Forgery - Securitatea Informatica

Vulnerabilitati PHP – Cross Site Request Forgery

Prin intermediul CSRF putem chiar schimba parola de administrator. Poate fi folosit prin intermediul XSS, redirecţionare. 1. Exemplu de bază Cod: <?php check_auth(); if(isset($_GET['news'])) { unlink(‘files/news’.$news.’.txt’); } else { die(‘File not deleted’); } ?> În acest exemplu veţi vedea ce este CSRF şi cum funcţionează. În folderul “files” sunt salvate ştirile scrise de un autor. Ştirile sunt salvate în modul “news1.txt”, [...]

Citeşte mai mult
Top 10 riscuri de securitate pentru aplicatii web de la OWASP - Securitatea Informatica

Top 10 riscuri de securitate pentru aplicatii web de la OWASP

OWASP (Open Web Application Security Project) a publicat versiunea finală a celor mai importante 10 riscuri de securitate pentru aplicaţii web. Astfel, pentru 2010, acest top 10 arată astfel: Injection Cross-Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross-Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL [...]

Citeşte mai mult
Vulnerabilitati PHP –  SQL Injection - Securitatea Informatica

Vulnerabilitati PHP – SQL Injection

1. Dacă utilizatorul MySQL are drepturi, putem citii fişiere. 2. Dacă utilizatorul MySQL are drepturi, găsim un director cu permisiuni de scriere şi dacă magic_quotes_gpc = off putem uploada codul nostru într-un fişier. 1. Exemplu de bază Cod: <?php $id = $_GET['id']; $result = mysql_query( ”SELECT name FROM members WHERE id = ’$id’”); ?> Variablia “id” nu este securizată. Putem injecta codul nostru SQL în variabila “id”. [...]

Citeşte mai mult
Vulnerabilitati PHP – Insecure Permissions - Securitatea Informatica

Vulnerabilitati PHP – Insecure Permissions

Uitaţi-vă cu atenţie în scripturi, verificaţi dacă scriptul cere autentificare pentru a face diferite lucruri (e.g backup). Uitaţi-vă după permisiuni nesigure, poate putem face lucruri administrative fără a fi logaţi ca admin. 1. Exemplu de bază Ne gândim la un script care lasă administratorul să vadă conţinutul bazei de date prin intermediul unui fişier plasat [...]

Citeşte mai mult
Atacuri CSRF - Securitatea Informatica

Atacuri CSRF

Cross Site Request Forgery este o tehnica destul de veche si are legatura (dar nu in totalitate) cu Cross Site Scripting, metodele si rezultatele exploatarii fiind de multe ori diferite fata de cele din cazul XSS. CSRF poate fi folosit in diferite scopuri, unele rauvoitoare sau utile, altele pur si simplu amuzante sau enervante. Eu [...]

Citeşte mai mult
Tipuri de atacuri asupra aplicatiilor web - Securitatea Informatica

Tipuri de atacuri asupra aplicatiilor web

Cross Site Scripting (XSS) Vulnerabilitatile XSS au loc cand serverul ia datele de la utilizator si le trimite inapoi browserului, fara ca acestea sa fie validate. XSS permite atacatorilor să redirectioneze paginile victimei, sa execute scripturi în browserul victimei, acestia putand ulterior sa intercepteze sesiuni de utilizator, să introducă viermi, etc. Injection Flaws Injection Flaws [...]

Citeşte mai mult
Pagina 4 din 512345
This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro