24.7.2015 0 Comments

WWW hacking a obrana / 3. časť

Remote File Inclusion/PHP Injection PHP je dnes najpoužívanejší skriptovací jazyk pracujúci na strane servera, určený na tvorbu dynamických internetových stránok. Bežný návštevník webovej stránky ho prakticky vôbec nevníma napriek tomu, že je aspoň čiastočne zakomponovaný v takmer všetkých funkciách webovej stránky - od fulltextového vyhľadávania až po tie najdynamickejšie prvky. Pre hackerov sú dnešné dynamické stránky využívajúce moderné technológie vrátane PHP vítaný cieľ. Dynamické prvky totiž prinášajú zároveň veľký problém - server bude získavať, spracúvať a vyhodnocovať dáta, ktoré pochádzajú od klienta, teda návštevníka stránky. V prípade, že programátor chybne navrhne kód ošetrujúci vstup od používateľa, hacker môže bez väčších problémov spustiť na serveri vlastný kód. V nasledujúcej ukážke je predstavený útok typu PHP Injection, ktorý spadá pod útoky typu Remote File Inclusion. Zdrojový kód zraniteľnej webovej stránky (index.php): Untitled Document
Predchádzajúca stránka, ktorá obsahuje skript PHP, je typický príklad bezpečnostnej chyby, ktorej sa dopúšťa pomerne veľa programátorov internetových aplikácií. Funkčnosť je v poriadku a stránka pracuje správne. Problém spôsobuje fakt, že skript prijíma akýkoľvek reťazec do premennej page a bez ošetrenia ho posúva ďalej. Hacker má teda pred sebou veľmi jednoduchú úlohu. Stačí, aby do premennej page zadal URL nejakého vlastného súboru PHP, ktorý je umiestnený niekde na internete. Hacknutie obsahu hlavnej stránky V prípade, že by mal hacker v úmysle nahradiť hlavnú stránk ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Red Hat a Veracomp: Open source a cloudy

09.12.2016 12:05

Cieľom ďalšej z radu spoločných akcií firiem Red Hat a Veracomp Slovakia v Bratislave bola prezentácia produktov, služieb a stratégií týkajúcich sa najhorúcejších tém IT podpory biznisu s využitím naj ...

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Red Hat Forum 2016: Otvorená digitálna transformácia

09.12.2016 11:51

Podujatím v Prahe pre región CENE (stredná a severná Európa) rezonovala komunitná atmosféra a snaha o spoluprácu podľa pravidla „každý s každým“. IT musí priniesť do digitálneho biznisu novú kultúru a ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá