Поставил тут недавно себе форум 2.(какой то там) .. всё классно.. даже прифигел от возможностей. Но не всё так радужно оакзалось. Почитал о методах взлома форумов.. жуть.. И ведь многие дыры пока ещё "не рассекречены широкой публике" .. На фоне всего этого появилась идея применить координальную защиту от некотрых типов взлома.
Вообщем, технология такая: "просеиваем" данные переданные $_POST и все слова javascript меняем на javasсript (с русской буквой "с"). Т.е. аваскрипт не будет запускаться.. Есть правде негативная сторона - проблема обсуждения вопросов о аваскрипте.. т.е. скопировыанный код скриптов с форума не будет работать.. Но так уж часто у вас на форуме обсуждабтся проблемы в яваскриптах ?
Дальше.. проблема SQL инъекции.. SQL инъекции чаще всего имеют вид:
Как видим обязательным элементом инъекции является наличие итмени какой то таблицы форума в запросе..
Идея такая - префикс таблиц делать не ipb_ ,а что нить типа njoFtyu6RN и "просеивать" все данные $_POST и $_GET и во всех словах "njoFtyu6RN" заменять одну букву русской.. и инъекции работать не будут..
Вообще хотелось бы больше узнать о методах защиты форумов от хацкеров-хуRцеров. Может кто нить имет своё "ноу-хао"?
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
Kelkos
Поставил тут недавно себе форум 2.(какой то там) .. всё классно.. даже прифигел от возможностей. Но не всё так радужно оакзалось. Почитал о методах взлома форумов.. жуть.. И ведь многие дыры пока ещё "не рассекречены широкой публике" .. На фоне всего этого появилась идея применить координальную защиту от некотрых типов взлома.
ну напрмер от взлома через BBcode типа:
Вообщем, технология такая: "просеиваем" данные переданные $_POST и все слова javascript меняем на javasсript (с русской буквой "с"). Т.е. аваскрипт не будет запускаться.. Есть правде негативная сторона - проблема обсуждения вопросов о аваскрипте.. т.е. скопировыанный код скриптов с форума не будет работать.. Но так уж часто у вас на форуме обсуждабтся проблемы в яваскриптах ?
Дальше.. проблема SQL инъекции.. SQL инъекции чаще всего имеют вид:
Как видим обязательным элементом инъекции является наличие итмени какой то таблицы форума в запросе..
Идея такая - префикс таблиц делать не ipb_ ,а что нить типа njoFtyu6RN и "просеивать" все данные $_POST и $_GET и во всех словах "njoFtyu6RN" заменять одну букву русской.. и инъекции работать не будут..
Вообще хотелось бы больше узнать о методах защиты форумов от хацкеров-хуRцеров. Может кто нить имет своё "ноу-хао"?
Может есть ещё какие нить типы взлома?
Ссылка на комментарий
Поделиться на других сайтах
1 ответ на этот вопрос
Рекомендуемые сообщения