|
|
SQL injection
|
5.12.2005 15:46
Newim
|
| Jeden moudry clovek rikal "Nedelej co neumis". Programatori tohoto portalu by si toto meli vzit k srdci... Pro volne chvilky doporucuji aby si programatori nechali vysvetlit vyraz SQL Injection. Btw: Byt vami, nemazu databazi a podivam se na seznam tabulek. |
|
|
|
|
Re: SQL injection
|
5.12.2005 16:19
Dal Horinek
|
Nikdo neni dokonaly. Ani to nejde. Je to stejne jako s nekonecnem - to je dokonalost pro cloveka. Proto by tato chyba ci omyl mel byt slusne programatoru oznamen.
Navic timto nikdo nepostresta ty programatory, ale uzivatele, kteri maji na tomto portalu zajem o informace.
Je pekne, ze jste objevil chybu, smekam klobouk, jste asi dobry, ale proc to delate cele komunite? Vsem ctenarum tohoto portalu?
|
|
|
|
|
Re: SQL injection
|
5.12.2005 18:46
Aleš Hakl
|
Opraveno, osobne bych predchozim programatorum doporucil totez (a mozna bych v souvislosti s timhle doporucil autorum PHP aby to huleni trosku omezili). |
|
|
|
|
Re: SQL injection
|
5.12.2005 18:55
František Hucek
|
| Je opravdu zvlastni, ze nedlouho pote, co odesel programator ktery jako posledni na linuxsoftu delal, ktery videl kody, tim padem i bugy ktere misty i on sam udelal, ci ktere tu zustali po programatorech predchazejicich, nekdo naky takovy bug zneuzije.. Zvlaste kdyz odchod nebyl zrovna bezproblemovy, tj, kdyz mi nekdo da po zkusebni dobe na stul vypoved a oznami mi, ze uz nastoupil jinde, bez toho aby dodelal to co ma rozdelano a bez toho aby radne ukoncil pracovni pomer.. Davame ted z logu serveru dohromady, jestli utocnik sel prave po teto chybe, tj. o ni vedel, ci se na ni metodou pokus/omyl nejak dostal.. Uvidime na co prijdeme a dle toho pak budu postupovat.. |
|
|
|
|
Re: SQL injection
|
5.12.2005 22:17
Karel Reichart
|
| Teď je mi jasné proč jsem odpoledne nemohl najít "půlku" stránek. To se stane vždy, když to člověk nejméně potřebuje. Jeden kolega sháněl informace o Linuxu. Tak jsem mu chtěl ukázat nejlepší stránky z informacemi a ejhle... Doufám že se vše podaří zprovoznit velmi brzy, abychom my nevědomí měli opět možnost brouzdat a shánět cenné informace. Tak hodně štěstí. |
|
|
|
|
Re: SQL injection
|
6.12.2005 00:48
Ondřej Čečák
|
V dobu, kdy jste psal prispevek, by melo byt vse OK. Co se tyce utoku, tak se na adresu utocnika da sarkasticky poznamenat "Jeden moudry clovek rikal "Nedelej co neumis." ... ;)
|
|
|
|
|
Re: SQL injection
|
6.12.2005 08:18
MaReK Olšavský
|
| Zeby skodicem by Pisko**t?? Nezdal se mi natolik dobrej, ale mozna zdani klamalo. |
|
|
|
|
Re: SQL injection
|
6.12.2005 20:27
Pavel `Goldenfish' Kysilka
|
Zdravim,
pozadal me Frantisek Hucek o vyjadreni okolo teto diskuse. Linuxsoft jsem
prvnich asi 10 mesicu programoval.
Nebudu se tady snazit hledat vinika, ale napisi co by bylo moznym duvodem,
proto, aby nekdo tuto velmi necistou vec udelal.
Proc necistou ? Asi to nevite, ale chodi sem dost lidi, kterym tento
web pomaha. A jsou zde i lide, kteri se o tento web staraji a misto toho, aby
ho rozvijeli, tak budou kontrolovat, co se vlastne stalo a pujde to radove
do dnu.
Opravoval jsem par veci na ruznych(i linuxovych) portalech a muzu rici, ze
linuxsoft byl v hodne vecech vice nez prumerny, co se tyce programovani
ve sve/me dobe. Tim,
nechci nejak vychvalovat svoji osobu. Ciste porovnavam stav webu. I kdyz
po mem odchodu se par veci mohlo zmenit. Nicmene je zajimave, ze se toto
nestalo jiz drive, ale az najednou ted. A kazdy pocitacovy program ma alespon
jednu chybu. Nebudu nad timto nejak polemizovat, kde se co stalo a nestalo a
ci to byla vina. Vim, ze moje osoba je pro mnohe hodne kontroversni a obcas i
nedokonala. A o kvalite nekterych(ne vsech) programatoru, co zde prosli, by
se dalo hodne polemizovat.
Pojdme se zamerit spise na to, co tim dany utocnik myslel a o co se snazil.
Spise bych to videl jako zamer nekoho uskodit. A nekoho, kdo v nejakem
hackovani nema prilis zkusenosti.
Videl bych to jako velmi pravdepodobne sestreleni zevnitr. Kdo to je,
to neodhadnu a ani nechci. Nicmene mazat/neumoznit pristup k zaznamum
slouzici vsem mi pripada jako ubohost. Mozna nekdo chtel dokazat svoje
v uvozovkach kvality. Utok hackera by vypadal jinak a
co si budeme rikat, tak linuxsoft by byl velkou trofeji. Podstatne vetsi, nez
jenom zmeny v databasi.
Pripada mi to, ze chce uvodni pisatel prispevku dokazovat, ze je dobry a
skolit tu par lidi. Proc ne. Ale vybral si na to zrovna tu spatnou cestu. Mozna
by to chtelo si precist neco o tom, zda je moudrost odeprit lidem neco, co jim pomaha a da se rici zdarma.
Pavel Kysilka -
byvaly programator linuxsoft.cz |
|
|
|
|
Zálohování
|
6.12.2005 08:49
Jan Němec
|
Sakra, chlapi, vy mě snad donutíte dělat to, co každý autor dělat měl, tj. zálohovat všechny své články :-) |
|
|
|
|
Re: Zálohování
|
6.12.2005 09:55
Ondřej Čečák
|
Server se samozrejme zalohuje, databaze (ve ktere jsou ulozene clanky) dokonce kazdou hodinu.
|
|
|
|
|
Re: Zálohování
|
6.12.2005 15:07
Newim
|
| Mno, kdyby jste se PORADNE podivali tak data ze vsech smazanych tabulek byly zkopirovany. |
|
|
|
|
Re: Zálohování
|
6.12.2005 15:59
Ondřej Čečák
|
Vzdyt ano, myslis, ze tuhle diskuzi jsme prepsali z papiru? :)
|
|
|
|
|
Utocnik
|
6.12.2005 11:05
František Hucek
|
Tak jsme včera u lahodného moku U Zpěváčků s Alešem prohledávali logy, a našli jsme IP 84.244.83.151 které patří nějakému ADSLku od
Bluetone (České Radiokomunikace) ze kterého ůtočník z Gmailu poprvné SQL injection na linuxsoftu zkoušel. Pak se připojoval z dalšího IP 212.158.128.159 od
Bluetone a poté z IP 203.162.27.200 což je nějaká šílená proxy ve
Vietnamu. Útočník si nejdříve myslel, že jedeme na MySQL, alespoň se tak tváří SQL příkazy.
Bohužel poskytovatel připojení nemůže poskytovat ůdaje o svých zákaznících na běžný dotaz. Toto upravuje Zákon o elektronických komunikacích §97 (3).
Teď se snažíme z logů linuxsoftu (2,2 GB dat) zjistit, jestli se jednalo o někoho, kdo opravdu tak dlouho skenoval web, až tuto chybu našel (málo pravděpodobné), či jestli se jednalo o informaci zevnitř, tj. nejpravděpodobněji od někoho kdo web spoluprogramoval, do kódů viděl, tj. věděl i o této chybě. Což vzhledem k tomu, že to vypadá, že útočník byl na dannou chybu upozorněn e-mailem (viz výše) se jeví jako pravděpodobné.
Jestli někdo "z venku" objeví svým důvtipem chybu v aplikaci, dobře to bych ještě pochopil..
Jinak na linuxsoftu se za 2 roky jeho existence vystřídali 3 programátoři kteří na něm dlouhodobě pracovali, další asi 3 kteří opravovali bugy, a další 1 který dostal přístup ke kódům s myšlenkou, že bude kódit.. Nebylo tomu tak, a dostal §53.. Jestli ale někdo zneužije informace které by osoby jenž k ním měli přístup chránit, což je i smluvně ošetřeno, tak je to celkem prasárna.. Které by se měla řešit jako problém pracovně-právní, popř. trestně-právní, toto např. dle
Trestní zákon § 149,
Trestní zákon § 152.
Určitý díl vinny beru také na sebe, tj. od počátku existence linuxsoftu kladu důraz aby se věci které chci zprovoznit (články, SW adresář, adresář skriptů, Shop..) rozběhli co nejdříve a ne až bude kód ideální, což by často trvalo do nekonečna.. |
|
|
|
|
|
|
|
|
KOMENTARZE
|
|
Tylko zarejestrowani użytkownicy mogą dopisywać komentarze.
|
|
Szukanie oprogramowania
|
bootable [55]
linuxsoft.cz | Design:
www.megadesign.cz