|
Страници по тази тема: 1 | 2 | 3 | 4 | (покажи всички)
Тема
|
Още един грандиозен пример за некадърността на ...
|
|
Автор | тъpcaч (Нерегистриран) |
Публикувано | 09.02.05 10:29 |
|
Още един грандиозен пример за некадърността на българските PHP драскачи. Всъщност тук въпроса е кой е по-големия ламер - PHP програмиста или системния администратор, който се е изсрал върху конфигурацията на PHP.
Чия е грешката според вас ?
http://www.domain.com/script.php............
Ето един грандиозен пример за SQL инжекция, или как да влезем без да знаем нито потребителско име, нито парола.
Идете на формата: Справка с потребителско име и парола
за потребителско име въведете каквото искате (например pesho, john, etc).
за парола точно следният низ:
' or 1='1
Ето това се нарича неграмотност. Но според мен този път сисадмина не е огледал PHP конфигурацията, нищо ... сигурно това не му е работата. той има далеч по-важни и отговорни неща - например да цъка из нета и да се нерви на неграмотни клиенти, които не могат да му стъпят на малкото пръстче по интелект.
С описания модел влизате като първия ред от потребители в базата данни?
Хайде да видим някой ще се сети ли как да влезе с втория ред - там всъщност има всичко на всичко само двама потребителя в базата данни с ID 18 и 19. Явно много 'просперират' и затова са решили да направят прозрачни нещата и да позволят всеки да влиза - то няма кво да защитаваш :)
Нещата малко се усложняват ако се опитате да измислите как да се вмъкнете като друг (в случая другиЯТ) потребител от базата данни, защото имат проверка за дължина на въведените потребителско име и парола (10 символа). Но може да се заобиколи.
Нещо още изумително ламерско - в този сайт пазят паролите в открит вид. За да счупите SQL заявката въведете
a'
за парола квото щете. Те са добрички ще ви изпишат:
select customer_id from users where username='a'' and password=''
т.е. всичките им потребители в базата данни от таблица users са открити пароли ! това е изумително сигурно. някои хора използват една и съща парола - така че си я подаряват - ако случайно си въведат и мейла сисадмина който и без това е много зает може докато се чеше и се чуди кво да прави вместо да си върши работата (например прегледа PHP конифугирацията) може да реши да ви пробва паролите дали ползвате едни и същи за мейла си, който сте въвели.
аз нещо сериозно почвам да се притеснявам за качеството на българския дивелъпмънт. нещо сериозно му куца.
да оставим встани това, че никой от вас вече като разбере сериозността на проблема който ви показвам, не би се доверил на фирма като тази, която освен че ламерски си организира базата данни позволява всеки да ти влезе в данните, пък и да ти използва парите, които си дал ...
Редактирано от ro6avia на 10.02.05 21:07.
| |
Тема
|
Re: Още един грандиозен пример за некадърността на ...
[re: тъpcaч]
|
|
Автор |
нaчинaeщ (непознат
) |
Публикувано | 09.02.05 11:23 |
|
Хубаво.
Покажи някой твой сайт да видим ти как ги правиш грандиозните неща.
Пък и можеше просто да им пратиш един е-майл с проблема. Един ден и на теб ще ти се случи - ще се накефиш ли?
"т.е. всичките им потребители в базата данни от таблица users са открити пароли ! това е изумително сигурно."
Наскоро, и аз се замислих за това - май в зенд.ком беше, като попълних "забравена парола", ми върна същата, с която се регистрирах - те гламави ли са?
"аз нещо сериозно почвам да се притеснявам за качеството на българския дивелъпмънт. нещо сериозно му куца."
вафла - трепач
| |
Тема
|
Re: Още един грандиозен пример за некадърността на ...
[re: нaчинaeщ]
|
|
Автор | тъpcaч (Нерегистриран) |
Публикувано | 09.02.05 11:32 |
|
"т.е. всичките им потребители в базата данни от таблица users са открити пароли ! това е изумително сигурно."
Наскоро, и аз се замислих за това - май в зенд.ком беше, като попълних "забравена парола", ми върна същата, с която се регистрирах - те гламави ли са?
А ЧУВАЛ ЛИ СИ ЗА ОБРАТИМО КРИПТИРАНЕ?! в зенд парички ли си си складирал в ПИН-а, че да се притесняваш ако някой ти познае паролата и ти използва кредита? А КАК ГЛЕДАШ СЕГА НА ЗЕНД? надявам се кофти - също и ако разбереш освен че ПИН-а за който си платил ти е прозрачен, и банковата сметка ? мерси за примера със зенд - отблъсква ме да се доверявам на такива услуги.
"аз нещо сериозно почвам да се притеснявам за качеството на българския дивелъпмънт. нещо сериозно му куца."
вафла - трепач
не трепач - ами ТРИПАЧ !!!
| |
Тема
|
Re: Още един грандиозен пример за некадърността на ...
[re: тъpcaч]
|
|
Автор | тъpcaч (Нерегистриран) |
Публикувано | 09.02.05 11:36 |
|
ха! клубс.дир.бг ?!
Темата е видяна: 0
видяна е 0 пъти ... ама друг път. нищо, ще го оправят ... ама някой друг път, сега са заети сигурно.
| |
Тема
|
Re: Още един грандиозен пример за некадърността на
[re: тъpcaч]
|
|
Автор |
lazo (ъндърстендър) |
Публикувано | 09.02.05 11:38 |
|
Евала хакер, откри още един сайт който е написан бездарно
Само да ти кажа, че над 60% от сайтовете в БГ са така, има и доста по фрапиращи случаи, например ЦМС без никава парола, ПХП МАЙ АДМИН също без ограничение на достъпа и т.н.
Само ще те помоля - престани с тези безсмислени постове
Това, че ти сега си открил тази тенденция и това е дало нов смисъл на живота ти е чудесно, но нЕкои от хората тук ги знаем тия неща години
Аре, пиийс, ХАЦ ЪП ДА ПЛАНЕТ
| |
Тема
|
Re: Още един грандиозен пример за некадърността на
[re: lazo]
|
|
Автор | тъpcaч (Нерегистриран) |
Публикувано | 09.02.05 11:51 |
|
за ЦМС и ПХП Май админа не ми се говори. някой сисадмин е пръцнал накриво и не си е свършил работата (ама то туй не му е работата, той е администратор, все пак по-важни неща върши и разбира яко от нещата).
в ЦМС-то не си си заредил парички. вижПХП май админа е вече наистина сериозен пропуск! ама ужасно сериоен.
от всички които предоставят карти (интернет или телефонни) няма да намериш подобна пролука. това е единствената - и при това в другата крайност - хептен ламерско. аз не бих си купил никога такава карта. виж от останалите може да са и по-големи глупаци, но поне са се постарали да направят едно - сигурност за потребителите си и конфиденциалност - а не да се чудиш кой ти изцуца кредита.
никоя сериозна институция не си позволява да прави грешки (представи си електронно банкиране с пролуки). тук също става въпрос за пари. а след като ще вземаш пари, помисли как да гарантираш сигурност на клиентите си.
иначе за останалите сайтове, кольо научил малко PHP и сега ще прави фирма и ще дивелъпва не ми ги давай за примери. не ги ща и да ги чуя.
| |
Тема
|
Re: Още един грандиозен пример за некадърността на
[re: тъpcaч]
|
|
Автор |
нaчинaeщ (непознат
) |
Публикувано | 09.02.05 11:54 |
|
ти пак твойто си знаеш - кольо-мольо :)
покажи един твой сайт да ти го хакнем :)))))
| |
Тема
|
Re: Още един грандиозен пример за некадърността на
[re: нaчинaeщ]
|
|
Автор | тъpcaч (Нерегистриран) |
Публикувано | 09.02.05 15:30 |
|
"а-а-а-а ! жа ма бий !" - както когато го караш да направи нещо се дърпаше мунчо от едноименното произведение чичовци на иван вазов.
как ще ти дам сайтове като ще ги хакваш ;) чакай да пусна файъруола първо че да спра всичко по тисипи и юдипи (уфф че гадно се пишат на кирливица такива термини).
| |
Тема
|
оф
[re: тъpcaч]
|
|
Автор | w (Нерегистриран) |
Публикувано | 09.02.05 15:39 |
|
как може по 1-2 примера да оценяваш всички случай
твоето мнение за мен е пример за повъхностна оценка
можеш ли да си представиш този случай: италианец тъп шеф назначва начинаещи (студенти) които са евтини и са му показали че могат да правят 1-2 странички. те омазват подобни неща и после идваш ти гениалния специалист които прави обобщаващи изводи за всички и всичко
мисля че в твоя случаи се проявява ефекта на огледалото, некадърните не са всички а този които ги оценява
| |
Тема
|
Re: Още един грандиозен пример за некадърността на
[re: тъpcaч]
|
|
Автор |
нaчинaeщ (непознат
) |
Публикувано | 09.02.05 15:43 |
|
:))))))
| |
|
Страници по тази тема: 1 | 2 | 3 | 4 | (покажи всички)
|
|
|