Время: Понедельник, 24 февраля в 20:30 по московскому времени.
Продолжительность: 1-2 часа.
Вероятность стрима: 90%. В связи с революцией на Украине могут быть перебои со связью или качеством интернет-канала. Так что стрима может и не быть. Но я постараюсь сделать всё возможное, чтобы он был.
Сложность: для junior & middle программистов.
Спонсор трансляции: мои курсы http://school-php.com
_______________________________________________
Приветствую всех. Решил мини-подкаст сделать, порадовать моих знакомых и учеников, и тема сегодняшнего видео будет: "взлом и безопасность".
Вопросам безопасности я уделю лишь поверхностное внимание, основным же будет именно взлом на реальных примерах.
Кто-то ошибся и открыл sql-уязвимость, мы этим воспользовались и получили всю базу данных.
Кто-то ошибся и открыл xss-уязвимость, мы уже снимаем деньги со счетов или сидим в админке...
Цель будет показать наглядно, как именно нас ломают. Как говорится, что в знаниях сила, и теперь мы будем знать точно, куда сделают атаку хакеры, а значит сможем создать максимально безопасный сайт.
Так же хотелось показать, что нет разницы в количестве ошибок, так как даже самая мелкая ошибка разрушит наш сайт.
______________________________________________
План:
1) Введение в безопасность. Основные вещи, которые помогут избавиться от 95% проблем.
2) SQL-inj. Посмотрим, как благодаря одной уязвимости человек сможет не только авторизироваться на сайте под другим аккаунтом, но и как вытянуть абсолютно всю Базу Данных.
3) Shell-code. Появление в системе как вид краха.
4) XSS-inj. Воруем куки (для доступа в систему), ддосим другие проекты, переводим счета (CSRF).
5) Include-inj. Взлом через собственный код.
6) Upload-inj. Уязвимости, связанные с загрузкой файлов на сервер. Заливаем Shell-code, опасную картинку или вируса.
7) Include-inj + Upload files как shell-code.
8) Подведение итогов.
9) Болтаем со зрителями.
Повторюсь. Это не обучение взломам, нет! Хакерство - это проблема. Мы изучаем проблему для будущей эффективной борьбы с ней.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Полная Версия: Видео-блок. Тема: взлом и безопасность веб-сайтов
CSRF забыл 
killer8080
Я его отнёс к XSS-inj. Но всё равно спасибо, дописал в скобках.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Я его отнёс к XSS-inj. Но всё равно спасибо, дописал в скобках.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost
Что нужно чтоб тоже посмотреть, послушать?
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Что нужно чтоб тоже посмотреть, послушать?
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
ABC
Сверху дана ссылка канала. Зайти туда в указанное время
А если захочешь пообщаться со мной, то не забудь зарегистрироваться на том сайте.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Сверху дана ссылка канала. Зайти туда в указанное время
А если захочешь пообщаться со мной, то не забудь зарегистрироваться на том сайте.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата |
| Сверху дана ссылка канала. Зайти туда в указанное время А если захочешь пообщаться со мной, то не забудь зарегистрироваться на том сайте. |
Ок
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Про Shell-code я бы глянул, что эта за зверюга такая
| Цитата |
| Заливаем Shell-code, опасную картинку или вируса |
А чью систему такая картинка будет ломать, сервера или клиента, если сервера то как ведь сервер не запускает картинки он их просто выплевывает клиенту 
zelenuy
Как раз о shell-code я буду говорить ооочень мало
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Как раз о shell-code я буду говорить ооочень мало
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
zelenuy
В gif спокойно встраивается php код, который запустится на сервере
_____________
[продано копирайтерам]
В gif спокойно встраивается php код, который запустится на сервере
_____________
[продано копирайтерам]
| Цитата (inpost @ 23.02.2014 - 02:14) |
| killer8080 Я его отнёс к XSS-inj |
ну вообще то это уязвимости разного класса, если есть XSS, то CSRF вообще теряет смысл
| Цитата (zelenuy @ 23.02.2014 - 08:28) |
| то как ведь сервер не запускает картинки он их просто выплевывает клиенту |
в сочетании с LFI уязвимостью можно запустить код из любого файла.
AllesKlar
Не только gif, я, лично, буду демонстрировать на примере jpg.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Не только gif, я, лично, буду демонстрировать на примере jpg.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
killer8080
CSRF - я представляю себе это так, что внедряют xss, дальше человек открывает страницу, и там запускается некий код, который обращается к стороннему сайту и выполняет некие действия. Разве есть какие-то иные варианты использования CSRF?
П.С. Я сейчас собираю материала как можно больше, лажу по старым проектам, читаю дополнительную документацию. В общем, я думаю, будет интересно для junior & middle программистов. Но рассказать прям 100% всех существующих уязвимостей не успею. Пройдемся лишь по популярным в сети.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
CSRF - я представляю себе это так, что внедряют xss, дальше человек открывает страницу, и там запускается некий код, который обращается к стороннему сайту и выполняет некие действия. Разве есть какие-то иные варианты использования CSRF?
П.С. Я сейчас собираю материала как можно больше, лажу по старым проектам, читаю дополнительную документацию. В общем, я думаю, будет интересно для junior & middle программистов. Но рассказать прям 100% всех существующих уязвимостей не успею. Пройдемся лишь по популярным в сети.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Хм. Будет полезно. Загляну)
killer8080
Тобишь так можно взломать любой файла обменник получается, что то меня терзают смутные сомнения, это все что позволяет загрузить файл уязвимо?
Насчет кук, вот я украл куку, зашел в аккаунт, первая мысль поменять пароль и снять наличные, пытаюсь и что я получаю в ответ!? Банально надпись пароль выслан на ваш телефон или майл, пожалуйста введите его в форму для подтверждения что дальше делать?
Тобишь так можно взломать любой файла обменник получается, что то меня терзают смутные сомнения, это все что позволяет загрузить файл уязвимо?
Насчет кук, вот я украл куку, зашел в аккаунт, первая мысль поменять пароль и снять наличные, пытаюсь и что я получаю в ответ!? Банально надпись пароль выслан на ваш телефон или майл, пожалуйста введите его в форму для подтверждения
что дальше делать?
| Цитата (inpost @ 23.02.2014 - 20:13) |
| killer8080 CSRF - я представляю себе это так, что внедряют xss, дальше человек открывает страницу, и там запускается некий код, который обращается к стороннему сайту и выполняет некие действия. Разве есть какие-то иные варианты использования CSRF? |
В корне не верно, это уже не чистый CSRF. Классическая CSRF атака выглядит так. Допустим ты админ и забанил на своем ресурсе какого то юзера. Допустим для того чтобы отменить бан, ты должен из админки сайта отправить форму вида
<form action="/admin.php" method="post">
<input type="hidden" name="action" value="dicard_ban">
<input type="hidden" name="user_id" value="12345">
<input type="submit" value="отменить бан">
</form>
Задача злоумышленника заставить админа послать этот запрос, он заманивает его на подготовленную страницу. Каким образом? Это уже вопросы СИ. На странице вставляется например такой код
<iframe style="visibility: hidden; width: 1px; height:1px;" id="ifrm"></iframe>
<form action="http://example.com/admin.php" method="post" id="frm" target="ifrm">
<input type="hidden" name="action" value="dicard_ban">
<input type="hidden" name="user_id" value="12345">
</form>
<script>document.getElementById('frm').submit()</script>
Запрос будет отправлен от имени авторизованного пользователя, и обработан сервером.
Особенность CSRF атаки в том, что можно только заставить пользователя отправить определенный запрос, но невозможно получить ответ сервера.
Для защиты от этого вида атак есть два способа, 1 проверка реферера, 2 добавить в запрос уникальный токен, который невозможно предугадать. проверка реферера обычно не используется, т.к. этот заголовок не является обязательным, и может резаться фаерволами, проксями и т.п, или просто отключен в браузере.
Потому я и сказал, что при наличии XSS в CSRF надобности уже нет, в отличии от последнего в XSS связь двух сторонняя, можно и отправлять запросы, и получать ответы.
Здесь расположена полная версия этой страницы.