forum.opennet.ru

"Рейтинг самых опасных ошибок, зафиксированных в 2009 году"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
Сообщение от polymorphm1 (ok), 18-Фев-10, 03:35
больше всего нанавижу что люди (разработчики функциональных web-страниц) -- недооценивают возможность Cross-Site Request Forgery (CSRF) при разработке своих страничек ... ..каждые 9/10 сайтов подвержены "межсайтовой подмене запроса" , и ПОДСТАВЛЕНЫМИ таким образом оказываются ПОЛЬЗОВАТЕЛИ таких сайтов . ...например напишут от твоего имени сообщение на форуме opennet.ru оскорбительного содержания, а ты потом доказывай кому хочешь что просто-навсего opennet.ru не проверяет испочник (HTTP_REFERER) POST-запроса , а следовательно запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip :-( ... # p.s.: про Opennet -- сказал чисто гипотетически . на самом деле может он и проверяет HTTP_REFERER при принятии POST запроса , этого я не проверял ещё покачто :-) # p.p.s.: хорошо хоть "window.XMLHttpRequest" [при использовании XML или JOSN] уже ПОУМОЛЧАНИЮ ЗАЩИЩЁН от CSRF , и web-разработчику не нужно прилогать дополнительные усилия для фильтрования запросов в зависимости от источника (а можно лишь наоборот приложить дополнительные усилия -- чтобы создать дыру в безопасности :-) , но так делать врядли кто захочет ) . ... ...в отличии от статических HTML POST "<form ...></form>" , где если не написать дополнительной строчки кода [проверяющщей HTTP_REFERER] -- то ДЫРА СУЩЕСТВУЕТ какбы ПОУМОЛЧАНИЮ...
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Рейтинг самых опасных ошибок, зафиксированных в 2009 году, opennews, 17-Фев-10, 23:13 [смотреть все]

Анализ был составлен по данным статистики обновлений безопасности MS Windows XP-, Zenitur, 17-Фев-10, 23:13 (1) //
- Угу А установка SElinux делает Windows намного безопаснее Там немалая часть уязв, XoRe, 17-Фев-10, 23:22 (2) //
  - Вы забыли про сотни обновлений для IE, WMP и NET Достаточно окинуть взглядом с, Zenitur, 18-Фев-10, 00:56 (5) //
    - С этим я не спорю Я просто хочу указать ваше внимание, что все эти уязвимости не, XoRe, 18-Фев-10, 10:08 (18)
    - И какие сотни обновлений была для поддерживаемых на сегодня ОС MS В 2009 году V, Трухин_Юрий_Владимирович, 20-Фев-10, 12:19 (64)
      - Вы тогда либо в поиске только ядро Linux выбирайте с минимальными GUI, либо все , Аноним, 20-Фев-10, 20:18 (65)
        
        Только по ядру Linux 38 уязвимостей только в ядре за 2009 год Это без всяк, Трухин_Юрий_Владимирович, 20-Фев-10, 22:09 (67)
        
        Посмотрите на усердно вами цитируемом secunia степень опасности этих уязвимостей, Глеб В, 20-Фев-10, 23:49 (70)
      - 28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр в we, Глеб В, 20-Фев-10, 20:22 (66)
        
        какие веб-приложения в настольных системах читайте внимательно, Трухин_Юрий_Владимирович, 20-Фев-10, 22:10 (68)
        
        это все я пишу в ответ на заявления человека о многих сотнях дыр в виндах в 2009, Трухин_Юрий_Владимирович, 20-Фев-10, 22:11 (69)
        
        Вы ссылались на статистику по числу дыр в Red Hat, а не только в настольных прил, Глеб В, 20-Фев-10, 23:52 (71)
Часть из этих ошибок 8212 причина порочной практики программирования, которая, Tav, 17-Фев-10, 23:39 (3) //
- хорошо сказано , Cobold, 18-Фев-10, 00:51 (4) //
  - А Oracle не хочет приобрести php , vbv, 18-Фев-10, 02:49 (8)
- которая связанна с использованием непоследовательного и непродуманного языка , Deffic, 18-Фев-10, 02:48 (7) //
  - самая больная проблема в PHP -- это mod_php , который ПООЩРЯЕТ помещщение и вып, polymorphm1, 18-Фев-10, 03:40 (12)
  - Проблема не в SQL Все нормальные API для работы с SQL работают так запрос с па, Tav, 18-Фев-10, 10:42 (22) //
    - эта норма пришла скорее от mysql, потому что там изначально небыло компиляции за, Cobold, 18-Фев-10, 11:50 (26)
    - А если логика запроса посложнее и состоит из 100 вложений инъекций и поведени, Deffic, 18-Фев-10, 12:19 (29)
      - Это значит, что вам следует пересмотреть модель данных Если подобные запросы вс, Tav, 18-Фев-10, 14:22 (38)
    - Все бы было хорошо если бы плейсхолдеры можно было применять в любой части запро, thirteensmay, 18-Фев-10, 13:25 (35)
      - Имя таблицы 8212 это данные пришедшие из вне Если такое часто нужно, у вас к, Tav, 18-Фев-10, 14:27 (39)
        
        Нет никаких проблем с моделью данных, есть необходимость динамического построени, thirteensmay, 18-Фев-10, 14:50 (41)
        
        Это все-таки не обычное использование БД, исключение, а не норма Речь о том, чт, Tav, 18-Фев-10, 15:34 (43)
        
        Вот с этим не могу не согласится Моя же речь про то что эти исключительные случ, thirteensmay, 18-Фев-10, 16:03 (45)
        Позвольте не согласиться - это как раз НОРМА Если у Вас база нормализована, то п, Deffic, 18-Фев-10, 18:25 (51)
        Ошибаетесь Это давно уже норма Время, когда все можно было сделать запросами в, AlexAT, 12-Май-10, 13:47 (73)
      - А вот смотрите, не в защиту перла а просто как сравнение на перле с базой работ, Cobold, 18-Фев-10, 14:57 (42)
        
        И на перл можно каждый раз собирать строку запроса, препарить ее а потом исполня, thirteensmay, 18-Фев-10, 15:40 (44)
        
        я не о том что на перле это невозможно, я о том что там в отличии от php при раб, Cobold, 18-Фев-10, 17:29 (47)
        
        а я вам про то что я например, при освоении DBI был весьма озадачен таким подход, thirteensmay, 18-Фев-10, 18:35 (52)
        
        а по поводу безопасности - всё зависит от вашей клиентской группы, в некоторых м, Cobold, 18-Фев-10, 17:39 (49)
        
        это всеже не мэйнстрим, в основном то ПО впаривается, посмотрите на туже винду и, thirteensmay, 18-Фев-10, 18:04 (50)
- смешивание html-кода и программной логики Можете это хот как-то обосновать,, Deffic, 18-Фев-10, 02:51 (9) //
  - Ну ведь действительно так и есть Смешивание неправильно по сути , Ян Злобин, 18-Фев-10, 03:34 (10) //
    - Неправильно - смешивание данных и кода А смешивание кода и кода - это вопрос вку, Deffic, 18-Фев-10, 03:50 (13)
      - код коду рознь txt-файл это тоже своего рода КОД программа например при печа, polymorphm1, 18-Фев-10, 04:06 (15)
        
        Текстовый файл не содержит инструкций, которые нужно выполнить в идеале t n, Deffic, 18-Фев-10, 04:35 (16)
        
        http ru wikipedia org wiki Управляющий_символсюрприз , Аноним, 18-Фев-10, 09:30 (17)
        
        Специалисты меня порвали , Deffic, 18-Фев-10, 11:25 (24)
        
        Ваше imho нам понятно В качестве точки зрения могу указать на темы skins , шабл, XoRe, 18-Фев-10, 10:26 (20)
        
        Есть мнение что впендюривание новых шаблонов и тем - туфта гламурных домохозяек,, thirteensmay, 18-Фев-10, 12:42 (32)
  - Это противоречит архитектурному шаблону Model 8211 View 8211 Controller, затру, Tav, 18-Фев-10, 11:00 (23) //
    - а сколько господ даже здесь рассуждают о языке без намёка на MVC в своих текстах, Cobold, 18-Фев-10, 12:03 (27)
      - MVC никто не отменял , Deffic, 18-Фев-10, 12:23 (30)
        
        НеMVC тоже , thirteensmay, 18-Фев-10, 12:51 (33)
        
        Согласен Фанатизм - Зло , Deffic, 18-Фев-10, 12:57 (34)
        
        я скорее о том что очень многие php программисты или о нём совсем не знают, или , Cobold, 18-Фев-10, 14:29 (40)
        
        А вы даже для HelloWorld готовы юзать MVC , AlexAT, 12-Май-10, 13:50 (74)
- это верно причём код на PHP можно писать довольно надёжно, но выглядеть такой, polymorphm1, 18-Фев-10, 03:57 (14) //
  - gt оверквотинг удален php name_arg stripslashes _GET name href htm, XoRe, 18-Фев-10, 10:34 (21) //
    - gt оверквотинг удален Смешиваем код с html , Deffic, 18-Фев-10, 11:47 (25)
    - не потомучто смотрите как вы называете свои переменные href -- это например h, polymorphm1, 20-Фев-10, 03:20 (62)
больше всего нанавижу что люди разработчики функциональных web-страниц -- недо , polymorphm1, 18-Фев-10, 03:35 (11) //
- А чем перехват и подмена кук и ip отличается от подмены HTTP_REFERER , thirteensmay, 18-Фев-10, 12:15 (28) //
  - От подмены IP защитит протокол TCP IP если вы не внедрились в канал связи Пере, Аноним, 18-Фев-10, 12:35 (31) //
    - В т ч может быть сформирован запрос с необходимым HTTP_REFERER И для этого да, thirteensmay, 18-Фев-10, 13:31 (36)
      - Нет Или это дыра в браузере Может быть запрос любой страницы или любого действ, Аноним, 18-Фев-10, 16:36 (46)
        
        Какая дыра в браузере Запрос отправляется не из браузера а с сайта злоумышленн, thirteensmay, 18-Фев-10, 17:36 (48)
        
        Нет Из браузера Referer сайт злоумышленника Куку не перехватили Всё работает, Аноним, 18-Фев-10, 19:04 (53)
        
        Цитирую Referer может подменить клиент, все правильно, но не клиент обычного пол, thirteensmay, 18-Фев-10, 19:33 (54)
        
        Не нужен Засветит откуда пришёл Злосайту это не важно Referer может подменить к, Аноним, 18-Фев-10, 19:57 (55)
        
        За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным рефере, thirteensmay, 18-Фев-10, 20:44 (56)
        
        Отправлять запрос злосайт не будет Он показывает страницу Реферер формируется б, Аноним, 18-Фев-10, 21:17 (57)
        
        Да злосайт сайтом называется только ради красоты, обычная машинка с доступом к с, thirteensmay, 18-Фев-10, 21:39 (58)
        Нет Ради определённости Нужны термины для ведения дискуссии Да Нет И то и друг, Аноним, 18-Фев-10, 22:13 (59)
        Ооо кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, thirteensmay, 18-Фев-10, 22:32 (60)
        Да , Аноним, 18-Фев-10, 22:40 (61)
        да так - давно меня небыло на этом обсуждении, извеняюсь - просто когда я го, polymorphm1, 20-Фев-10, 03:37 (63)
Распечатать и большим плакатом в программерских развесить для альтернативноодаре, luzers, 18-Фев-10, 14:14 (37)
админам составьте пожалуйста ПОЛНЫЙ список из инета, обязательно по категорям я, gHg, 04-Июл-11, 09:15 (75)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру