Автор Тема: Дыры в скриптах (Прочитано 1158 раз)

Evgo · « : 13 Января 2019, 15:04:01 »

Приветствую всех

Возникли такие вопросы:

1.Что такое дыры в скрипте?
Только прошу объяснить со своей позиции понимания, а не цетировать или ссылку давать.
2.Что можно сделать с помощью дыр на сайте?
Напишите какие конкретно угрозы они несут Админу сайта и пользователям?
3.Есть ли простой способ проверить сайт на дыры и устранить их?
4.Какие есть формы защиты от дыр?
5.Опишите, пожалуйста свой случай попадания из-за дыр и как вы решили эту проблему?
6.Какие ещё угрозы есть кроме дыр и что они конкретно могут причинить?

Буду очень Вам благодарен за информацию из Вашего опыта...

kvozimir · « **Ответ #1 :** 13 Января 2019, 15:44:08 »

1. лазейка в коде (или его не хватает или он есть лишний)
2. взломать,вытащить данные из базы,попасть в скрипт на прямую управляя файлами,в случае с фф выводить деньги
3. простого нет и не было,только изучения языков программирование и понимание его
4. да изучить все языки программирования и проверить скрипт на наличие описного в пункте 1
5. у меня нет,но писали часто вывод денег мелкими и большими суммами,решение было проверкой скрипта на дыры
6. ну как минимум досс атака просто отключают сайт нагрузкой и не только

вроде норм написал

Evgo · « **Ответ #2 :** 13 Января 2019, 16:00:40 »

Дополнительный вопрос:
Дырами может воспользоваться только тот кто их установил или любой кто знает как?
Ну например кто то установил в скрипте дыры лет так 5 назад...прошло время и этим сайтом где дыры не пользовались...за это время тот кто устанавливал дыры ушёл...ну например в мир иной)...кто то сможет этими дырами воспользоваться?

kvozimir · « **Ответ #3 :** 13 Января 2019, 16:26:16 »

Цитата: Evgo от 13 Января 2019, 16:00:40

Дополнительный вопрос:
Дырами может воспользоваться только тот кто их установил или любой кто знает как?
Ну например кто то установил в скрипте дыры лет так 5 назад...прошло время и этим сайтом где дыры не пользовались...за это время тот кто устанавливал дыры ушёл...ну например в мир иной)...кто то сможет этими дырами воспользоваться?

любой кто знает как

Rich-99000000 · « **Ответ #4 :** 15 Марта 2019, 00:25:37 »

Цитата: Evgo от 13 Января 2019, 15:04:01

1.Что такое дыры в скрипте?
6.Какие ещё угрозы есть кроме дыр и что они конкретно могут причинить?

в своей первой игре с паблика (реальный бизнес) создал поле для ввода зданий (фруктов), но не знал что ввод следует фильтровать на >0 в итоге юзеры уводили в минус число 1ого фрукта и тем самым получали серебро вместо списывания и покупали более дорогие. Не сразу заметил да и в 2014 не сверх много знал о коде. Но такое своеобразие потенциально можно считать уязвимостью.

daz9lnr · « **Ответ #5 :** 19 Августа 2019, 17:38:56 »

А кто скажет, насколько безопасно пользоватся сервисами по обнаружению уязвимостей в скриптах?

GameRussia · « **Ответ #6 :** 19 Августа 2019, 18:07:41 »

Такие сервисы в лучшем случае бесполезны, потому как не находят множество уязвимостей

finans13 · « **Ответ #7 :** 20 Августа 2019, 01:40:27 »

Цитата: GameRussia от 19 Августа 2019, 18:07:41

Такие сервисы в лучшем случае бесполезны, потому как не находят множество уязвимостей

возможно и бесполезны, вам профессионалам виднее, но на 50-70% они тебе жизнь облегчают в поиске всякого дерьма.

GameRussia · « **Ответ #8 :** 20 Августа 2019, 07:00:44 »

Цитата: finans13 от 20 Августа 2019, 01:40:27

но на 50-70% они тебе жизнь облегчают в поиске всякого дерьма.

Не спорю, что-то они конечно найдут, но увы далеко не всё. Какое-нибудь поле, незащищенное от SQL инъекции они скорее всего найдут, а, скажем, пример из сообщения выше от Rich-99000000 такие сервисы найти не смогут, т.к не могут знать логику работы скрипта. (по крайней мере я таких сервисов не встречал)

maks161 · « **Ответ #9 :** 20 Августа 2019, 08:51:16 »

Цитата: finans13 от 20 Августа 2019, 01:40:27

возможно и бесполезны, вам профессионалам виднее, но на 50-70% они тебе жизнь облегчают в поиске всякого дерьма.

Половину шелов они не видят, лично проверял.