Mikuláš je tu! Získaj 90 % extra kreditov ZADARMO s promo kódom CERTIK90 pri nákupe od 1 199 kreditov. Len do nedele 7. 12. 2025! Zisti viac:
NOVINKA: Najžiadanejšie rekvalifikačné kurzy teraz s 50% zľavou + kurz AI ZADARMO. Nečakaj, táto ponuka dlho nevydrží! Zisti viac:

Diskusia – Obrana proti útoku Mass assignment v PHP

Späť

Upozorňujeme, že diskusie pod našimi online kurzami sú nemoderované a primárne slúžia na získavanie spätnej väzby pre budúce vylepšenie kurzov. Pre študentov našich rekvalifikačných kurzov ponúkame možnosť priameho kontaktu s lektormi a študijným referentom pre osobné konzultácie a podporu v rámci ich štúdia. Toto je exkluzívna služba, ktorá zaisťuje kvalitnú a cielenú pomoc v prípade akýchkoľvek otázok alebo projektov.

Komentáre
Posledné komentáre sú na spodnej časti poslednej stránky.
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovedá na sweetboi
Martin Konečný (pavelco1998):17.3.2014 9:11

Ale přesně o tom ten článek je. Viděl jsem spoustu DB dotazů, které byly náchylné na SQL inject. Určitě může být někdo, kdo to dělá tímhle způsobem. Cílem bylo ukázat, že takový útok existuje, jak ho lze provést a jak se mu bránit. Není nikde řečeno, že se taková chyba dělá běžně.

Odpovedať
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
David Hartinger
Vlastník
Avatar
Odpovedá na sweetboi
David Hartinger:17.3.2014 10:14

Nojo, arogance a hloupost. Vůbec netušíš, které bije. Hidden pole do formuláře přidá útočník, ne autor stránky. Mass assignment útok byl proveden proti známým webům v ROR. Že je v db sloupec admin si můžeš být jistý na 90%, stejně jako že je v ní tabulka users a podobně. Jsou to nejčastější pojmenování.

Editované
Odpovedať
New kid back on the block with a R.I.P
Avatar
sweetboi
Člen
Avatar
sweetboi:17.3.2014 10:27

no jestli je to tak, tak ty "zname" weby si to zaslouzily a kazdy, kdo pojmenovava inputy stejne jako pole v DB a ten, kdo sklada SQL z prichozich POSTu a i ten, ktery si IDcka posila v hiddenu :-) Btw. ja sloupec admin nepouzivam :-)

Avatar
David Hartinger
Vlastník
Avatar
Odpovedá na sweetboi
David Hartinger:17.3.2014 10:43

Jak je vidět, tak nemáš žádné zkušenosti s vývojem webových aplikací a v životě jsi nedělal s žádným frameworkem a nikdy jsi neviděl reálný projekt. Opravit ty nesmysly co jsi napsal je asi nad mé síly. Běž si prosím prostudovat alespoň základy PHP.

Odpovedať
New kid back on the block with a R.I.P
Avatar
michalkasparec
Tvůrce
Avatar
michalkasparec:17.3.2014 10:58

Nejvíc se mi líbí lidi, co očividně snědli rozum světa a bez jakéhokoli důkazu nebo ukázky toho co udělali, tak jen pomlouvají začínající programátory a odrazují je od učení...

Avatar
David Hartinger
Vlastník
Avatar
Odpovedá na michalkasparec
David Hartinger:17.3.2014 11:04

Michale, pokud je to narážka na mě, tak si nejdříve přečti co sem ten člověk psal a jakým způsobem to psal. Raději odradím jednoho začátečníka (a ještě arogantního) než abych tu nechal diskuzi, ze které by si mohlo plno začátečníků vyvodit nějaké nepravdivé závěry.

Odpovedať
New kid back on the block with a R.I.P
Avatar
michalkasparec
Tvůrce
Avatar
Odpovedá na David Hartinger
michalkasparec:18.3.2014 7:39

Promiň zapomněl jsem dát reakci. To určitě není na tebe, ale na toho (s prominutím) vola, co psal před tebou. Celá ta reakce byla na toho sweetboi.
Omlouvám se za nepřesnost. Proti tobě bych neřekl jediné křivé slovo. Tebe se na to moc vážím.

Avatar
asanos
Člen
Avatar
asanos:29.3.2014 21:17

1. Máš v plánu pokračovat dalšími články v téhle sekci?
2. Nezdá se ti to jako "návod" pro útočníka?
3. Nechtěl by jsi napsat zmínku o OWASP Top Ten a dál pokračovat například podle něj, nebo je to velké sousto?

  • Vím, že například o XSS by se dalo mluvit hodiny a hodiny. A jeden článek by teda vše podstatné asi nevystihl.
  • Máš teda už nějaké představy, kam to spěje?

Předem děkuji za odpověďi.

Odpovedať
Na světě je 10 typů lidí. Ti, kteří rozumí binárce a ti co nerozumí.
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovedá na asanos
Michal Žůrek - misaz:29.3.2014 21:20

návod pro útočníka = návod pro obránce. Aby ses dokázal ubránit musíš vědět jak se útočí, stejně tak pokud chceš točit musíš vědět jak se brání.

Avatar
asanos
Člen
Avatar
Odpovedá na Michal Žůrek - misaz
asanos:29.3.2014 21:25

Jj, tohle si také myslím. Sám jsem si říkal, že bych něco napsal. Ale zase je tady problém, že se najde určitě někdo, kdo toho zneužije.

Odpovedať
Na světě je 10 typů lidí. Ti, kteří rozumí binárce a ti co nerozumí.
Posledné komentáre sú na spodnej časti poslednej stránky.
Robíme čo je v našich silách, aby bola tunajšia diskusia čo najkvalitnejšia. Preto do nej tiež môžu prispievať len registrovaní členovia. Pre zapojenie sa do diskusie sa zaloguj. Ak ešte nemáš účet, zaregistruj sa, je to zadarmo.

Zobrazené 10 správy z 27.