Google - aš blogas, labai blogas ;-)
Šiuo straipsniu aš šiek tiek paišdykausiu 
. Pažadu, kad nenukentės nei vienas serveris. Tik parodysiu, kaip nereiktu daryti (iš programuotojo pusės)
lang:php mysql_connect\((”|’)[a-zA-Z0-9_.]+(”|’),(”|’)[a-zA-Z0-9]+(”|’) -localhost -127.0.0.1 -192.168 - Google Code paieška. Keisčiausia yra tai, kad kaikurie prisijungimai tikrai veikia
“Welcome to phpMyAdmin” AND ” Create new database” - Veikiančių atvirų DB paieška. Dauguma jų su loginu ‘root’ (super administrator) ir be slaptažodžių. Tai blogo administratoriaus pvz.
Nesankcionuotas priėjimas prie lokalaus serverio (neapsaugotų) failų.
“index.php?include=” filetype:php
pvz.: http://www.printgroupusa.com/index.php?include=../../../../../../../../../../../../etc/passwd
SQL injekcijų paieška.
Tai dažnai pasitaikanti php+sql programerių klaida. Klaida iššaukiama, kai įvedamas ties „id“ ne skaičius, o koks nors kitas simbolis. pvz.: „”>“ arba neigiamas skaičius „-1“. Dauguma serverių jau yra apsaugoti pačių administratorių, tačiau ne visur.
Pvz. vienos lietuviškos kompanijos tinklapyje vietoj id skaičiaus įvedus „”>“ gauname štai tokį rezultatą:
SELECT title FROM structure WHERE id = \”>
1064: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ‘\”>’ at line 1
- klaida: nėra sql_quotes (nededamos sql kabutės)
- klaida: nepaslėptos sql klaidos. SQL klaidos yra reikalingos TIK ir TIK programeriui, kitiems TIK ir TIK įsilaužimui
- Tai tik mokomoji informacija, skirta busimiems programuotojams ir administratoriams.
- Jos tikslas nėra kenkti, o kenkėjai patys atsakingi už savo veiksmus.
- Visi pvz buvo atrinkti atsitiktinai suradus juos per GOOGLE.
Nori suzinot daugiau? ateik i www.unixode.lt Juodiji IT Skyle
Comment by unixode — May 27, 2008 @ 2:14 pm
Nieko ypatingo. Geriau “pagooglinkit” - bus paprasčiau
.
Šiaip daryti bloga visai nesudėtinga - sunkiau sugebėti nuo to blogio apsisaugoti
Comment by Tadas Kvedaras — May 29, 2008 @ 8:28 pm