Błędy na JoeMonsterze – Bo niedopatrzenie zabija powoli

Paź 17
2012

Tytuł wpisu parafrazujący znane wszystkim motto JoeMonstera. Mogłoby się wydawać, że tak duży i popularny serwis, po kilku przejściach z bezpieczeństwem w przeszłości (a raczej jego brakiem) będzie dzisiaj wolny od trywialnych błędów. Niestety, po zalogowaniu, spędzając trochę minut na stronie znalazłem kilka „perełek”.

 

Czytaj dalszą część wpisu »

Cross-site scripting czyli atak XSS

Sty 24
2010

rakietaMimo, iż dziury wykorzystujące atak typu XSS można bardzo łatwo załatać to pojawiają się one na wielu stronach. Błąd tego typu można spotkać wszędzie tam gdzie przetwarzane i wyświetlane są dane wprowadzane przez użytkownika, jak na np. najczęstszych celach agresorów czyli księgach gości. Jak można wywnioskować XSS polega na niedostatecznym filtrowaniu danych.

Czytaj dalszą część wpisu »

Ataki typu LFI, RFI oraz Poison Null Byte

Sty 23
2010

luskaŻyjemy w czasach technologi PHP5. Webmasterzy już dawno zaprzestali tworzenia stron w oparciu o statyczny HTML. Dziś adresy URL nie wyglądają tak:

www.strona.pl/index.html

A raczej tak:

www.strona.pl/?strona=glowna

Czytaj dalszą część wpisu »