Жилинский предоставил свой вариант универсальной защиты от XSS и SQL-инъекций.
Посмотреть код можно здесь
А здесь можно почитать описание.
В релизе Firefox 2.0.0.14, по сравнению с прошлой версией, устранена одна уязвимость, позволяющая злоумышленнику вызвать крах браузера. Некоторые эксперты отмечают для данной уязвимости теоретическую возможность выполнения кода злоумышленника. Проблема вызвана некорректной работой сборщика мусора в момент выполнения определенного JavaScript кода.
Кроме того, готовятся к выпуску обновления Thunderbird 2.0.0.13 и SeaMonkey 1.1.10, с исправлением аналогчиных ошибок.
Сегодня на лекции надумал мысль о защите ini-файлов, которые нужно сделать нечитаемыми через http. Решение оказалось простым и эффективным:
Содержимое файла ini.php
;
;далее вписываем сам контент ini
................................
; */ ?>
Фишка в первой и последней строке. Комментарии в ini и в php не совпадают, поэтому тэги "" заэкранированы от ini-парсера и не нарушают синтаксиса ini-файла, а комментарии php("/*" и "*/") не нарушают php-синтаксиса, и не выдают сообщения об ошибке при вызове файла через http. В итоге мы имеем вполне валидный ini, названный с расширением .php, который легко парсится с помощью функции parse_ini_file("ini.php"), а при обращении напрямую выводит на экран одну точку с запятой(";").
Только что не смог не обратить внимания на один баннер...
Ну еще бы! Ведь этот баннер вебальты в точности содержит в себе мой последний запрос в яндексе!!!
Сейчас бьюсь над вопросом: как это вообще возможно?
Кстати, адрес рисунка: http://st.adriver.ru/b?r=fYT8A7b, и из другого браузера он мне выдал ту же картинку но с пустой строкой ввода... Так что же получается, кто хочет может затырить данные моего последнего поискового запроса???
Определенно, взаимодействие с кулхацкерами, даже косвенное, повышает внимательность в области информационной безопасности.
Сегодня, один из оных, IP-адрес которого 81.222.122.5(по крайней мере так было сказано в HTTP-заголовках, а я не склонен думать что он потрудился их подделать), на практике указал мне на одну серьезную уязвимость в скрипте комментариев, который я сам писал под этот движок, и даже не включал в базовую поставку, так как он еще не прошел полевого тестирования.
Была обнаружена возможность XSS, что я благополучно и оперативно исправил(можно было вписать произвольный html на место email`а или имени пользователя). Кроме того, в том же скрипте существовала возможность проведения SQL-инжекции, что я тоже своевременно пофиксил.
Кулхацкеру: Спасибо за помощь в улучшении безопасности системы. Я в принципе не против, ковыряй дальше. Только не сноси БД, если вдруг появится таковая возможность... Это уже будет хулиганство, долго лазить восстанавливать бэкапы...
А вообще, хакерская активность на сайте последние дни явно возрасла! :) Сегодня например полдня кто-то ковырял админку, пытаясь подключить шелл... Видимо, безуспешно... но не из-за совершенства скрипта. Найдена и исправлена еще одна ошибка, а от взлома меня уберегло то что в настройках запрещено инклудить файлы с других серверов. Тут явно поковырялся админ сайта http://phpxtreme.ru/ , страницы которого закрыты от глаз посторонних.... Знакомый кстати какой-то домен... Ведь свои же подкалывают! :D
Vitas, ну ты перец!!!
1 2
![[Valid RSS]](http://validator.w3.org/feed/images/valid-rss.png "Validate my RSS feed")
