Potrebni testeri - svaki bug pivo!

LiquidBrain · 29. 11. 2006.

Ja pijem samo tuborg

flash_back · 29. 11. 2006.

jedan tuborg onda

evo malo istrazujem ali ne kontam jos uvek dovoljno dobro sql injection? Propust prilikom sql-a, ali kakav? kako da se zastitim?

Ivan · 29. 11. 2006.

Propust je takav da je moguce izmeniti postojeci sql iskaz u neki drugi. Zastitices se tako sto ces da filtriras ulaz (izbacices sve nedozvoljene karaktere).

flash_back · 30. 11. 2006.

E vidim da je bilo polemike da nudim maglu umesto pive

E pa ovako, dobitnici piva za sada su:

kaizen : XSS | nije se izjasnio

LiquidBrain : SQL injection | 1 tuborg

Bojan Zivanovic : get_magic_quotes_gpc | tekila

Pivo (i tekilu) mozete preuzeti veceras u Amnestia club IBIZA posle 24h...

[063/7-535-823]

LiquidBrain · 01. 12. 2006.

Jeeeee... dobio sam pivo.... nego josh uvek sam pijan od sinotj da bih trenutno bio radostan...

LiquidBrain · 01. 12. 2006.

Ima josh jedna greshka ali gramaticka...

Citat:

neovlascen pristu, ......

problem je u pristu...

LoLz

flash_back · 05. 12. 2006.

Ma LiquidBrain pomogao si mi da se zastitim od SQL injectiona u samom loginu, mislim da bi te trebalo nominovati za gajbu piva

---

Zavrsavam pisanje adminovog panela (za sada 1388 redova, malo sada postaje konfuzno naci odredjen line koda) i zeleo bih da poboljsam opsti security koliko god je to moguce.. jer ne vredi mi puno 1388 redova koda u adminovoj stranici ako se u nju upada za manje od dva minuta

Ukrato, sta mislite da predjem na sha1 umesto md5 hasa? Mozda da celu stvar malo i 'iskomplikujem' i da hash passa bude npr: pass+korisnicko_ime+email+datum_i_vreme_registraci je - sta mislite?

Malo sam istrazivao kako se razbija md5 has (da bi mogao da se zastitim moram da znam kako se napada

) i zanimljiva je stvar, ako imas tabelu i imena polja mozes da postavis script i da vadis vrednost po vrednost iz hasa.. nesto sada budzim da sve query greske zapisujem u jedan txt fajlic. Poenta je da skinem sa queria printovanje errora i slicno..

I recimo da ovde ostajem bez ideja..

Bojan Zivanovic · 29. 11. 2006.

Link sa detaljima
A sad ozbiljno, zastitis se tako sto svaki parametar koji ubacujes u kveri prvo propustis kroz mysql_real_escape string ili neku drugu funkciju slicne namene ako koristis neku drugu bazu.
I ne zaboravi da skines djubre koje PHP automatski doda kada je magic_quotes ukljucen:

PHP kôd:


			
if(get_magic_quotes_gpc()) {
  $_GET = array_map('stripslashes', $_GET);
  $_POST = array_map('stripslashes', $_POST);
  $_COOKIE = array_map('stripslashes', $_COOKIE);
}

To stavis na vrh skripte i ne mislis..

Btw, baci oko na ovo.

I pre nego sto pitas, ne gotivim nesto puno pivo, al uvek moze nesto kratko (domaca kajsijevaca, tekila, itd..)

flash_back · 29. 11. 2006.

Ako nastavim sa ovakvim pitanjima moracu ozbiljno da poradim na organizaciji budzeta

29. 11. 2006.	#1
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	Ja pijem samo tuborg __________________ http://weevify.com

29. 11. 2006.	#3
Ivan Psychedelictrance freak Wrote a book Datum učlanjenja: 04.06.2006 Lokacija: Srbija, Beograd Poruke: 1.008 Hvala: 325 933 "Hvala" u 34 poruka	Propust je takav da je moguce izmeniti postojeci sql iskaz u neki drugi. Zastitices se tako sto ces da filtriras ulaz (izbacices sve nedozvoljene karaktere). __________________ Testiranje bezbednosti web aplikacija

30. 11. 2006.	#4
flash_back Banned Professional Datum učlanjenja: 23.04.2006 Lokacija: BG Poruke: 270 Hvala: 11 9 "Hvala" u 5 poruka	E vidim da je bilo polemike da nudim maglu umesto pive E pa ovako, dobitnici piva za sada su: kaizen : XSS \| nije se izjasnio LiquidBrain : SQL injection \| 1 tuborg Bojan Zivanovic : get_magic_quotes_gpc \| tekila Pivo (i tekilu) mozete preuzeti veceras u Amnestia club IBIZA posle 24h... [063/7-535-823] Poslednja izmena od flash_back : 30. 11. 2006. u 22:03.

01. 12. 2006.	#5
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	Jeeeee... dobio sam pivo.... nego josh uvek sam pijan od sinotj da bih trenutno bio radostan... __________________ http://weevify.com

05. 12. 2006.	#7
flash_back Banned Professional Datum učlanjenja: 23.04.2006 Lokacija: BG Poruke: 270 Hvala: 11 9 "Hvala" u 5 poruka	Security Ma LiquidBrain pomogao si mi da se zastitim od SQL injectiona u samom loginu, mislim da bi te trebalo nominovati za gajbu piva --- Zavrsavam pisanje adminovog panela (za sada 1388 redova, malo sada postaje konfuzno naci odredjen line koda) i zeleo bih da poboljsam opsti security koliko god je to moguce.. jer ne vredi mi puno 1388 redova koda u adminovoj stranici ako se u nju upada za manje od dva minuta Ukrato, sta mislite da predjem na sha1 umesto md5 hasa? Mozda da celu stvar malo i 'iskomplikujem' i da hash passa bude npr: pass+korisnicko_ime+email+datum_i_vreme_registraci je - sta mislite? Malo sam istrazivao kako se razbija md5 has (da bi mogao da se zastitim moram da znam kako se napada ) i zanimljiva je stvar, ako imas tabelu i imena polja mozes da postavis script i da vadis vrednost po vrednost iz hasa.. nesto sada budzim da sve query greske zapisujem u jedan txt fajlic. Poenta je da skinem sa queria printovanje errora i slicno.. I recimo da ovde ostajem bez ideja.. Poslednja izmena od flash_back : 05. 12. 2006. u 10:19.

29. 11. 2006.	#2
flash_back Banned Professional Datum učlanjenja: 23.04.2006 Lokacija: BG Poruke: 270 Hvala: 11 9 "Hvala" u 5 poruka	jedan tuborg onda evo malo istrazujem ali ne kontam jos uvek dovoljno dobro sql injection? Propust prilikom sql-a, ali kakav? kako da se zastitim?

29. 11. 2006.	#8
Bojan Zivanovic profesionalac Professional Datum učlanjenja: 06.06.2005 Lokacija: Pančevo - Pariz Poruke: 287 Hvala: 6 8 "Hvala" u 8 poruka	Link sa detaljima A sad ozbiljno, zastitis se tako sto svaki parametar koji ubacujes u kveri prvo propustis kroz mysql_real_escape string ili neku drugu funkciju slicne namene ako koristis neku drugu bazu. I ne zaboravi da skines djubre koje PHP automatski doda kada je magic_quotes ukljucen: PHP kôd: `if(get_magic_quotes_gpc()) { $_GET = array_map('stripslashes', $_GET); $_POST = array_map('stripslashes', $_POST); $_COOKIE = array_map('stripslashes', $_COOKIE); }` To stavis na vrh skripte i ne mislis.. Btw, baci oko na ovo. I pre nego sto pitas, ne gotivim nesto puno pivo, al uvek moze nesto kratko (domaca kajsijevaca, tekila, itd..) __________________ The knack of flying is learning how to throw yourself at the ground and miss. Poslednja izmena od Bojan Zivanovic : 29. 11. 2006. u 20:22.

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
[REŠENO] QA: Potrebni Web testeri [studenti, određeno na 2 meseca]	DejanVesic	Poslovne ponude i zapošljavanje	0	15. 10. 2010. 23:44
iPhone app - beta testeri potrebni	aleck	Opušteno	17	15. 07. 2009. 00:46
Plati pivo	Vladimir Rodic	Obaveštenja, predlozi i pitanja	13	16. 04. 2009. 13:34
Pivo i programeri	shoba	Opušteno	62	15. 04. 2007. 13:10
Potrebni BETA testeri sa MIDP 2.0 telefonima	srdjan	Poslovne ponude i zapošljavanje	0	01. 04. 2007. 12:05