Bạn có muốn phản ứng với tin nhắn này? Vui lòng đăng ký diễn đàn trong một vài cú nhấp chuột hoặc đăng nhập để tiếp tục.
Latest topics
» Hack Atlentica CKT_Modz2.4.1 : Hack đổi tên nhân vật atlentica,hack đồ atlentica,hack
Một số lỗi cần tránh khi lập trình web Empty6/2/2011, 3:27 pm by thanh thanh

» Hack wall SA hack SA mới nhất -Biệt đội thần tốc [2/2011]
Một số lỗi cần tránh khi lập trình web Empty6/2/2011, 3:27 pm by thanh thanh

» http://cB8.upanh.com/19.0.24708747.QyK0/pepi0012.jpg
Một số lỗi cần tránh khi lập trình web Empty29/1/2011, 8:29 pm by thanh thanh

» Thông báo chuyển server HackSock.Net
Một số lỗi cần tránh khi lập trình web Empty16/12/2010, 3:17 pm by KeoTM

» cần hack gta vice city bất tử
Một số lỗi cần tránh khi lập trình web Empty23/11/2010, 9:02 pm by bovacon

» THƯ MỜI THAM GIA KÝ GỬI SIM MIỄN PHÍ
Một số lỗi cần tránh khi lập trình web Empty10/10/2010, 4:44 pm by tinygaru

» Đơn Xjn Làm Mod ( Gửi Admin )
Một số lỗi cần tránh khi lập trình web Empty6/10/2010, 8:32 am by kingwok

» Super Junior [Super Show] - The Night Chicago Died
Một số lỗi cần tránh khi lập trình web Empty18/9/2010, 7:22 pm by ga24

» -Cô đơn CF dạy tôi nhiều thứ..nhưng ko giúp tôi trưởng thành
Một số lỗi cần tránh khi lập trình web Empty16/8/2010, 5:04 pm by 628768

» nhan lam hack tat ca cac game offline aj can pm tui
Một số lỗi cần tránh khi lập trình web Empty16/8/2010, 1:38 pm by nhoklinhcd

» Thông báo chuyển Sever để nâng cấp diễn đàn cực new
Một số lỗi cần tránh khi lập trình web Empty16/8/2010, 1:24 pm by txtthttuyen

» Thông báo Cho Toàn Mem
Một số lỗi cần tránh khi lập trình web Empty16/8/2010, 1:16 pm by txtthttuyen

» cần hack gta vice city bất tử
Một số lỗi cần tránh khi lập trình web Empty15/8/2010, 2:33 pm by namhieptrienchieu

» Teen Vong co
Một số lỗi cần tránh khi lập trình web Empty15/8/2010, 1:20 pm by conkhithehe9x

» thông báo tuyễn admin (tạm thời không onl dc)
Một số lỗi cần tránh khi lập trình web Empty14/8/2010, 12:20 pm by manadasca1

» thông báo ngứng cấm tải hack ở tất cac web sai để tránh key log mất pass
Một số lỗi cần tránh khi lập trình web Empty13/8/2010, 7:40 pm by HiepSiCoi

» hình ảnh uh.thixinh đợt 2
Một số lỗi cần tránh khi lập trình web Empty13/8/2010, 12:26 pm by txtthttuyen

Tìm kiếm
 
 

Display results as :
 


Rechercher Advanced Search


You are not connected. Please login or register

Một số lỗi cần tránh khi lập trình web

Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

‰ÑhØÇ_pR؉

‰ÑhØÇ_pR؉
Cầm Đầu
Cầm Đầu

Một số lỗi cần tránh khi lập trình web
"Tất cả những kinh nghiệm này đều được trải qua và kiểm nghiệm trong thực tế bởi... chính tôi. Những điều tôi viết, chắc mấy anh hacker có nghề sẽ cười khẩy mà bảo rằng 'dễ vậy mà cũng viết'. Thì cái gì biết rồi đều dễ mà! Đây chỉ là những kinh nghiệm mà những bạn quan tâm tới hoặc mới lập trình web nên tham khảo mà thôi".

"Đầu tiên, một lần tôi lang thang trên Net, ghé vào ngó nghiêng trang http://www.hubm.edu.vn, chợt phát hiện rằng trang web này có một forum tự viết bằng asp. À há, tinh thần tự viết mà không dùng đồ có sẵn trên Net của webmaster trang web này rất đáng hoan nghênh. Nhưng tự viết thì chắc chắn sẽ có chỗ này chỗ nọ chưa hoàn thiện, phải không? Sau khi mò mẫm chọn kiểm tra các trang web có liên quan đến truy cập dữ liệu như các trang cập nhật thông tin, gửi bài, đổi mật khẩu… Tôi chợt phát khùng lên vì... sướng, khi thấy trang thay đổi mật khẩu được chứng thực bằng ID và chỉ ID mà thôi. Dễ như bóc kẹo, tôi nhẹ nhàng thay đổi chỉ số ID trên URL String bằng ID của admin, nghiễm nhiên tôi có mật khẩu của admin".

"Theo tôi, đây là một lỗi vô cùng ngớ ngẩn và quá nguy hiểm vì nó cho phép một cậu bé con cũng có thể xơi tái cả hệ thống. Theo tôi, các bạn nên chú ý khi lập trình web, tất cả các trang có tác động đến cơ sở dữ liệu phải có 2 cách kiểm tra: Hoặc xác nhận lại mật khẩu, hoặc sử dụng biến Session, không được chỉ kiểm tra ID".

"Trang web này còn có một lỗi ngớ ngẩn và nghiêm trọng không kém, đó là cho phép upload file lên mà không cần kiểm tra đó là file gì. Do host hỗ trợ .asp nên tôi đã upload cả một chú backdoor to đùng lên (đuôi .asp) và dùng nó để sục sạo vô tư trong hệ thống. Vậy thêm một kinh nghiệm nữa là bạn phải hạn chế dạng file cho upload lên hệ thống, và tốt nhất là chỉ cho phép các file dạng hình ảnh mà thôi".

"Một lần khác, khi lang thang tìm kiếm lỗi trên trang http://ttvnol.com, tôi cũng phát hiện ra một lỗi ở phần upload file. Forum này có một lỗi quá nghiêm trọng: Đó là upload thì kiểm tra đuôi nhưng khi chạy cái file đuôi dạng hình ảnh thì hiển luôn cái nội dung file nếu không phải là file hình ảnh. Có nghĩa là nếu tôi viết 1 file HTML và đổi thành đuôi .gif thì đưa lên gọi bằng trình duyệt vẫn chạy HTML bình thường. Tôi đã sử dụng điều này để sửa điểm trò SNAKE trong ttvnol và làm 1 form lừa lấy hầu hết password của các admin. Tôi còn đưa lên cả backdoor và điều nguy hiểm hơn là trường password trong database chẳng được mã hóa gì hết... Có đường dẫn rồi, chỉ cần làm 1 file .asp bình thường là bọn tôi có thể lôi hết password của các thành viên trên diễn đàn về. Forum TTVNOL vậy là bị thu phục hoàn toàn".

"Nhắn thêm với các bạn một điều nữa khi làm web, đó là phải thiết lập cấu hình để máy chủ chỉ cho chạy các file có đuôi html hoặc .asp hay .php… và phải mã hoá trước khi lưu thông tin vào trường mật khẩu. Tất cả các lỗi trên tôi đã thông báo cho các admin và họ đã sửa hết rồi nên không còn đường để các bạn thực hành nữa đâu. Bài viết này cũng không có ý phá hoại chi hết mà chỉ nêu lên những lỗi thường gặp để các bạn biết mà chú ý khi làm web thôi".

Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Permissions in this forum:
Bạn không có quyền trả lời bài viết