NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze – Lekce 6 - Obrana proti útoku Mass assignment v PHP

Zpět

Upozorňujeme, že diskuze pod našimi online kurzy jsou nemoderované a primárně slouží k získávání zpětné vazby pro budoucí vylepšení kurzů. Pro studenty našich rekvalifikačních kurzů nabízíme možnost přímého kontaktu s lektory a studijním referentem pro osobní konzultace a podporu v rámci jejich studia. Toto je exkluzivní služba, která zajišťuje kvalitní a cílenou pomoc v případě jakýchkoli dotazů nebo projektů.

Komentáře
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovídá na sweetboi
Martin Konečný (pavelco1998):17.3.2014 9:11

Ale přesně o tom ten článek je. Viděl jsem spoustu DB dotazů, které byly náchylné na SQL inject. Určitě může být někdo, kdo to dělá tímhle způsobem. Cílem bylo ukázat, že takový útok existuje, jak ho lze provést a jak se mu bránit. Není nikde řečeno, že se taková chyba dělá běžně.

Odpovědět
17.3.2014 9:11
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na sweetboi
David Hartinger:17.3.2014 10:14

Nojo, arogance a hloupost. Vůbec netušíš, které bije. Hidden pole do formuláře přidá útočník, ne autor stránky. Mass assignment útok byl proveden proti známým webům v ROR. Že je v db sloupec admin si můžeš být jistý na 90%, stejně jako že je v ní tabulka users a podobně. Jsou to nejčastější pojmenování.

Editováno 17.3.2014 10:14
Odpovědět
17.3.2014 10:14
New kid back on the block with a R.I.P
Avatar
sweetboi
Člen
Avatar
sweetboi:17.3.2014 10:27

no jestli je to tak, tak ty "zname" weby si to zaslouzily a kazdy, kdo pojmenovava inputy stejne jako pole v DB a ten, kdo sklada SQL z prichozich POSTu a i ten, ktery si IDcka posila v hiddenu :-) Btw. ja sloupec admin nepouzivam :-)

 
Odpovědět
17.3.2014 10:27
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na sweetboi
David Hartinger:17.3.2014 10:43

Jak je vidět, tak nemáš žádné zkušenosti s vývojem webových aplikací a v životě jsi nedělal s žádným frameworkem a nikdy jsi neviděl reálný projekt. Opravit ty nesmysly co jsi napsal je asi nad mé síly. Běž si prosím prostudovat alespoň základy PHP.

Odpovědět
17.3.2014 10:43
New kid back on the block with a R.I.P
Avatar
michalkasparec
Tvůrce
Avatar
michalkasparec:17.3.2014 10:58

Nejvíc se mi líbí lidi, co očividně snědli rozum světa a bez jakéhokoli důkazu nebo ukázky toho co udělali, tak jen pomlouvají začínající programátory a odrazují je od učení...

 
Odpovědět
17.3.2014 10:58
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na michalkasparec
David Hartinger:17.3.2014 11:04

Michale, pokud je to narážka na mě, tak si nejdříve přečti co sem ten člověk psal a jakým způsobem to psal. Raději odradím jednoho začátečníka (a ještě arogantního) než abych tu nechal diskuzi, ze které by si mohlo plno začátečníků vyvodit nějaké nepravdivé závěry.

Odpovědět
17.3.2014 11:04
New kid back on the block with a R.I.P
Avatar
michalkasparec
Tvůrce
Avatar
Odpovídá na David Hartinger
michalkasparec:18.3.2014 7:39

Promiň zapomněl jsem dát reakci. To určitě není na tebe, ale na toho (s prominutím) vola, co psal před tebou. Celá ta reakce byla na toho sweetboi.
Omlouvám se za nepřesnost. Proti tobě bych neřekl jediné křivé slovo. Tebe se na to moc vážím.

 
Odpovědět
18.3.2014 7:39
Avatar
asanos
Člen
Avatar
asanos:29.3.2014 21:17

1. Máš v plánu pokračovat dalšími články v téhle sekci?
2. Nezdá se ti to jako "návod" pro útočníka?
3. Nechtěl by jsi napsat zmínku o OWASP Top Ten a dál pokračovat například podle něj, nebo je to velké sousto?

  • Vím, že například o XSS by se dalo mluvit hodiny a hodiny. A jeden článek by teda vše podstatné asi nevystihl.
  • Máš teda už nějaké představy, kam to spěje?

Předem děkuji za odpověďi.

Odpovědět
29.3.2014 21:17
Na světě je 10 typů lidí. Ti, kteří rozumí binárce a ti co nerozumí.
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na asanos
Michal Žůrek - misaz:29.3.2014 21:20

návod pro útočníka = návod pro obránce. Aby ses dokázal ubránit musíš vědět jak se útočí, stejně tak pokud chceš točit musíš vědět jak se brání.

 
Odpovědět
29.3.2014 21:20
Avatar
asanos
Člen
Avatar
Odpovídá na Michal Žůrek - misaz
asanos:29.3.2014 21:25

Jj, tohle si také myslím. Sám jsem si říkal, že bych něco napsal. Ale zase je tady problém, že se najde určitě někdo, kdo toho zneužije.

Odpovědět
29.3.2014 21:25
Na světě je 10 typů lidí. Ti, kteří rozumí binárce a ti co nerozumí.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 27.