| Autor |
Mensagem |
![[Post New]](/templates/default/images/icon_minipost_new.gif) 08/06/2005 21:53:12
|
kuchma
Moderador
![[Avatar]](/images/avatar/85422afb467e9456013a2a51d4dff702.jpg)
Membro desde: 17/01/2003 19:36:16
Mensagens: 1231
Localização: Curitiba - PR
Offline
|
Eu arriscaria dizer que grande parte dessas "invasoes" nao passam de receitinhas de bolo que moleques que nao tem nada pra fazer ficam seguindo e se achando o maximo - "hauhauhaua, que legal escrever haxor no site dos caras - sou o maior".
Inclusive essas "tecnicas de invasao" utilizando PHP sao velhas e conhecidas, envolvendo declaracao implicita de variaveis por parte do PHP, injecao de SQL, chamada de comandos de sistema, ausencia de "escape" contra entradas de usuario, entre outras cositas basicas. Parte da culpa eh das "facilidades" que algumas versoes do PHP trouxeram e parte eh dos "programadores" despreparados.
Acho esse tipo de coisa (desfiguracao) o cumulo. Depois vem os psicologos dizerem que palmadas traumatizam as criancas. 
Marcio Kuchma
|
E tu, Belém-Efrata, pequena demais para figurar como grupo de milhares de Judá, de ti me sairá o que há de reinar em Israel, e cujas origens são desde os tempos antigos, desde os dias da eternidade. Mq 5:2, Miquéias, 750 AC aprox. |
|
|
 |
|
|
09/06/2005 03:24:22
|
abstract
JavaTeenager
![[Avatar]](http://www.gravatar.com/avatar/a730f764d54b20861e5e90bfc6b5d1d6.png)
Membro desde: 11/10/2004 04:23:26
Mensagens: 172
Offline
|
Bom basicamente cv no caso a culpa seria do MacDonalds eheheheh, sobre segurança, existem os kiddies e os caras que apenas exploram uma brechinha, isso é para admins desavisados, vc perde sua chave na rua, todo mundo te avisa pra trocar, vc não troca, alguém entra é simples, assim são as brechas de segurança, o cara não derrubou o provedor não acabou com o mundo, explorou o que tinha falha, e olhe que isso é amplamente divulgado pela security focus e outros meios de segurança. óbviamente com segurança não se brinca e certamente não se dorme no ponto.
cv wrote:Nao diria que eh infeliz, mas eh certamente ilogico. O mesmissmo argumento eh usado quando uma mulher eh estuprada, e tem sempre um maneh pra dizer "ah, mas tambem, com uma sainha justa daquela, tava pedindo!"
Numa versao menos pesada: eu paro o carro na rua e esqueco a janela aberta. Um meliante com intencoes horriveis derrama um McShake de morango no banco do motorista e decora o painel com jujubinhas. De quem eh a culpa por uma atrocidade dessas? Minha?!
This message was edited 1 time. Last update was at 09/06/2005 03:25:50
|
[ ]'s Bruno
"O descanso é coisa boa ....para os mortos." - T. Carlyle
-
http://abstractj.com
----------------------------------------------------
Volenti Nihil Dificille
---------------------------------------------------- |
|
|
|
09/06/2005 10:44:28
|
rogeriop80
JavaEvangelist
![[Avatar]](/images/avatar/ec47a5de1ebd60f559fee4afd739d59b.png)
Membro desde: 20/04/2004 17:10:50
Mensagens: 313
Localização: Caçapava/SJC - SP
Offline
|
kuchma wrote:
Inclusive essas "tecnicas de invasao" utilizando PHP sao velhas e conhecidas, envolvendo declaracao implicita de variaveis por parte do PHP, injecao de SQL, chamada de comandos de sistema, ausencia de "escape" contra entradas de usuario, entre outras cositas basicas. Parte da culpa eh das "facilidades" que algumas versoes do PHP trouxeram e parte eh dos "programadores" despreparados.
Marcio Kuchma
Não estou, querendo de forma alguma justificar o ato do cara que alterou o site, MAS, se a tecnica é tão velha e conhecida, porque não se precaver de uma situação dessa. SQL Injection é uma tecnica antiga, que se bem explorada pode trazer muitos estragos, mas a maioria dos ataques por SQL Injection pode ser evitada facilmente e tem gente que não se previne com relação a isso.
[]´s
|
Rogério Peres Gomes
E TENHO DITO ! |
|
|
|
09/06/2005 18:59:06
|
kuchma
Moderador
Membro desde: 17/01/2003 19:36:16
Mensagens: 1231
Localização: Curitiba - PR
Offline
|
rogeriop80 wrote:Não estou, querendo de forma alguma justificar o ato do cara que alterou o site, MAS, se a tecnica é tão velha e conhecida, porque não se precaver de uma situação dessa. SQL Injection é uma tecnica antiga, que se bem explorada pode trazer muitos estragos, mas a maioria dos ataques por SQL Injection pode ser evitada facilmente e tem gente que não se previne com relação a isso.
Por isso que falei que parte da culpa eh dos "programadores". 
Em todo caso, nao sei se como admin de um host, simplesmente colocar o PHP em safe_mode te livra das brechas que os caras deixam no codigo. Claro, nesse caso apura-se o problema e chega-se ao culpado, mas sabe como eh: stress e dor-de-cabeca, porque o cliente nao esta nem ai com isso, o problema eh que o site dele foi desfigurado/invadido.
Marcio Kuchma
|
E tu, Belém-Efrata, pequena demais para figurar como grupo de milhares de Judá, de ti me sairá o que há de reinar em Israel, e cujas origens são desde os tempos antigos, desde os dias da eternidade. Mq 5:2, Miquéias, 750 AC aprox. |
|
|
|
09/06/2005 19:44:55
|
cv
Moderador
![[Avatar]](/images/avatar/210f760a89db30aa72ca258a3483cc7f.jpg)
Membro desde: 04/04/2003 00:32:12
Mensagens: 7842
Localização: São Paulo, SP
Offline
|
Ah, se fosse so colocar em safe_mode...
SQL Injection eh algo que nao tem como se prevenir. O mecanismo de tainting do Ruby eh algo que chega perto, mas nao tem como cobrir 100% dos casos, e vc sabe, sendo programador, que quando vc esta com vontade de fazer alguma coisa, vc faz - mesmo que seja vontade de fazer cagada. As coisas que eu ja vi feitas (ou nao feitas) em nome da preguica seriam inacreditaveis caso todo mundo aqui nao fosse da mesma profissao e nao conhecesse bem a historia 
|
|
|
|
|
|
|
|
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
![[ICQ]](/templates/default/images/icon_icq_add.gif){kind=icon}
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}
![[Email]](/templates/default/images/icon_email.gif){kind=icon}
![[Yahoo!]](/templates/default/images/icon_yim.gif){kind=icon}