PHP Web Security For Dummies

Caricato da

itaBlackHawk

Il 0% ha trovato utile questo documento (0 voti)

38 visualizzazioni17 pagine

Titolo originale

PHP Web Security for Dummies

Copyright

Formati disponibili

ODP, PDF, TXT o leggi online da Scribd

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Segnala questo documento

Copyright:

Attribution Non-Commercial (BY-NC)

Formati disponibili

Scarica in formato ODP, PDF, TXT o leggi online su Scribd

Segnala contenuti inappropriati

Il 0% ha trovato utile questo documento (0 voti)

38 visualizzazioni17 pagine

PHP Web Security For Dummies

Caricato da

itaBlackHawk

Copyright:

Attribution Non-Commercial (BY-NC)

Formati disponibili

Scarica in formato ODP, PDF, TXT o leggi online su Scribd

Segnala contenuti inappropriati

Salta alla pagina

Sei sulla pagina 1di 17

Cerca all'interno del documento

Hackmeeting 0x0C

PHP security for dummyes,

aka perch quando faccio partire un exploit
posso dare comandi da remoto
Alcune cose a cui prestare attenzione
Magic_quotes / register globals
Chiamate al database SQL (se presente)
Funzioni di lettura/scrittura su file
Accesso ad aree riservate
Funzioni di codifica/decodifica
Include
SQL Injection

SQL Injection NON VUOL DIRE: ' OR 1=1--

Si ha una SQL Injection quando esiste la

possibilit di modificare la QUERY che un sito
invia al proprio database
SQL Injeciton: esempio

SELECT * FROM users WHERE pass = '$pwd'

SQL Injeciton: esempio

x' OR 'a'= 'a

SELECT * FROM users WHERE pass = 'x' OR 'a'= 'a'
Magic_quotes_gpc

attiva di default, e applica un backslash ad ogni

apice/doppio apice presente nei dati inviati con

COOKIE, GET, POST

bloccando alla fonte molti attacchi (SQL Injection)

DOMANDA

Mi interessano solo le
QUERY SQL relative al
LOGIN?
SELECT * FROM topics WHERE topic_id = $id
SELECT * FROM topics WHERE topic_id =

123 UNION
SELECT 0,1,2,pass FROM users WHERE id = 1
Kleenas 167
Nessuna SQL Injection nel modulo di login
Invece in register.php...
Blind SQL Injection
Quando?
Una SELECT non ci da la possibilit di far stampare
a video dati a noi utili
Abbiamo a che fare con una query diversa da
SELECT
Come?
SLEEP(), BENCHMARK()
Misurazione dei tempi di risposta
Solar Empire <= 2.9.1.1
Magic_quotes ON oppure OFF?
codice
exploit
FUNZIONI DECODE
Pericolose, perch permettono di bypassare
Magic_quotes:
ES: base64_decode JyBPUiAxID0gMSAtLQ==
' OR 1 = 1
Caso particolare: urldecode()

%25 27 OR 1 %3D 1 --
FALSE FUNZIONI DI LOGIN
Esempio 1
Esempio 2
Esempio 3
ATTENZIONE A COME FILTRATE
Esempio 1
Esempio 2
Local File Inclusion
Si forza una pagina PHP a fare l'include di
un'altro file, in cui saremo riusciti ad inserire
codice malevolo:
Log di apache
EXIF Data
COSE DA NON FARE
Lasciare gli script di installazione
Creare un applicazione blindata e poi mettere
tutti i backup giornalieri in una cartella
pubblicamente accessibile

Potrebbero piacerti anche

American Gods: The Tenth Anniversary Edition
Da Everand
American Gods: The Tenth Anniversary Edition
Neil Gaiman
Valutazione: 4 su 5 stelle
4/5 (12948)
The Iliad: A New Translation by Caroline Alexander
Da Everand
The Iliad: A New Translation by Caroline Alexander
Homer
Valutazione: 4 su 5 stelle
4/5 (5719)
Good Omens
Da Everand
Good Omens
Neil Gaiman
Valutazione: 4.5 su 5 stelle
4.5/5 (12011)
Never Split the Difference: Negotiating As If Your Life Depended On It
Da Everand
Never Split the Difference: Negotiating As If Your Life Depended On It
Chris Voss
Valutazione: 4.5 su 5 stelle
4.5/5 (3282)
The Hobbit
Da Everand
The Hobbit
J.R.R. Tolkien
Valutazione: 4.5 su 5 stelle
4.5/5 (24586)
American Gods [TV Tie-In]: A Novel
Da Everand
American Gods [TV Tie-In]: A Novel
Neil Gaiman
Valutazione: 4 su 5 stelle
4/5 (12520)
Pride and Prejudice: Bestsellers and famous Books
Da Everand
Pride and Prejudice: Bestsellers and famous Books
Jane Austen
Valutazione: 4.5 su 5 stelle
4.5/5 (20479)
The Handmaid's Tale
Da Everand
The Handmaid's Tale
Margaret Atwood
Valutazione: 4 su 5 stelle
4/5 (13225)
The Art of War: A New Translation
Da Everand
The Art of War: A New Translation
Sun Tzu
Valutazione: 4 su 5 stelle
4/5 (3044)
Good Omens: A Full Cast Production
Da Everand
Good Omens: A Full Cast Production
Neil Gaiman
Valutazione: 4.5 su 5 stelle
4.5/5 (10908)
The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life
Da Everand
The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life
Mark Manson
Valutazione: 4.5 su 5 stelle
4.5/5 (20041)
The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life
Da Everand
The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life
Mark Manson
Valutazione: 4 su 5 stelle
4/5 (5806)
Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy
Da Everand
Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy
Stephen F. Kaufman
Valutazione: 4 su 5 stelle
4/5 (3321)
How To Win Friends And Influence People
Da Everand
How To Win Friends And Influence People
Dale Carnegie
Valutazione: 4.5 su 5 stelle
4.5/5 (6525)
Remarkably Bright Creatures: A Novel
Da Everand
Remarkably Bright Creatures: A Novel
Shelby Van Pelt
Valutazione: 4.5 su 5 stelle
4.5/5 (5541)
And Then There Were None
Da Everand
And Then There Were None
Agatha Christie
Valutazione: 4.5 su 5 stelle
4.5/5 (8937)
The Hobbit
Da Everand
The Hobbit
J.R.R. Tolkien
Valutazione: 4.5 su 5 stelle
4.5/5 (25198)
The Perfect Marriage: A Completely Gripping Psychological Suspense
Da Everand
The Perfect Marriage: A Completely Gripping Psychological Suspense
Jeneva Rose
Valutazione: 4 su 5 stelle
4/5 (1111)
The 7 Habits of Highly Effective People
Da Everand
The 7 Habits of Highly Effective People
Stephen R. Covey
Valutazione: 4 su 5 stelle
4/5 (353)
Wuthering Heights (Seasons Edition -- Winter)
Da Everand
Wuthering Heights (Seasons Edition -- Winter)
Emily Bronte
Valutazione: 4 su 5 stelle
4/5 (9486)
Freakonomics Rev Ed
Da Everand
Freakonomics Rev Ed
Steven D. Levitt
Valutazione: 4 su 5 stelle
4/5 (7849)
Habit 6 Synergize: The Habit of Creative Cooperation
Da Everand
Habit 6 Synergize: The Habit of Creative Cooperation
Stephen R. Covey
Valutazione: 4 su 5 stelle
4/5 (2499)
The 7 Habits of Highly Effective People
Da Everand
The 7 Habits of Highly Effective People
Stephen R. Covey
Valutazione: 4 su 5 stelle
4/5 (2568)
The 7 Habits of Highly Effective People: The Infographics Edition
Da Everand
The 7 Habits of Highly Effective People: The Infographics Edition
Stephen R. Covey
Valutazione: 4 su 5 stelle
4/5 (2475)
Habit 1 Be Proactive: The Habit of Choice
Da Everand
Habit 1 Be Proactive: The Habit of Choice
Stephen R. Covey
Valutazione: 4 su 5 stelle
4/5 (2556)
It Ends with Us: A Novel
Da Everand
It Ends with Us: A Novel
Colleen Hoover
Valutazione: 4.5 su 5 stelle
4.5/5 (5782)
Habit 3 Put First Things First: The Habit of Integrity and Execution
Da Everand
Habit 3 Put First Things First: The Habit of Integrity and Execution
Stephen R. Covey
Valutazione: 4 su 5 stelle
4/5 (2507)