Modex 11 апр 2007 в 20:21

HackBar — расширение для «хакеров»

1 мин

7.8K

Firefox

+27

Комментарии 18

KAFLAN 11 апр 2007 в 21:05

Поигрался, понравилось )
Жаль инстремент в основном ориентирован на исследование уязвимостей в php,perl и т.п. Потому как sql injection в ASP .NET при использовании стандартных средств (параметризованные запросы) - нонсенс. Ковыряние с другими вкусностями
то же не очень полезны так как в ASP .NET сложно обойти вьювстейт, однако, полезными я для себя обнаружил:
- Integer up/down on a selected string
- Base64 (UU) encode/decode a selected string
- URL encode/decode a selected string
- MD5 hash a selected string

SCoon 12 апр 2007 в 06:57

ql injection в ASP .NET при использовании стандартных средств (параметризованные запросы) - нонсенс

...равно как и в PHP/perl. SQL injection происходит только когда код sql-запроса строится в скрипте с использованием данных пользователя. И в ASP-скриптах я такое также видел.

Для PHP эти проблемы более характерны исключительно по причине использования MySQL и, следовательно, неиспользования параметров запросов.

Kuks 12 апр 2007 в 07:39

В php это очень просто решается одной из двух функций :)

SCoon 12 апр 2007 в 07:43

Во всех языках это решается включением мозга. :)

smart 12 апр 2007 в 08:42

Или обязательным использованием placeholders ;)

SCoon 12 апр 2007 в 08:43

Использование плейсхолдеров — это одно из следствий включения мозга. :)

smart 12 апр 2007 в 08:59

Без мозга, разумеется, никак не обойтись ;) Я имел в виду то, что прописывание обязательного использования placeholders в корпоративных стандартах кодирования облегчает жизнь главного code-maintain'ера :)

SCoon 12 апр 2007 в 09:03

Не помогает. Я находил при code review куски прямого приклеивания пользовательских строк к SQL-выражению в коде, написанном Team Lead'ом с опытом больше 5 лет. Просто во время написания этого кода его мозг был выключен. Это я называю "ass-powered development".

junk 12 апр 2007 в 19:04

ткните пожалуйста ссылкой как избежать sql-injection
очень хочу научиться писать безопасный код

пока обхожусь addslashes

Kuks 12 апр 2007 в 19:20

addslashes и надо использовать, но когда числовые значения пишутся можно использовать intval(), она возвратит 0 если туда какуюто фигню написали вместо числа

junk 12 апр 2007 в 19:28

ух ты спасибо, про intval() не знал.

Это все меры по обработке пользовательских данных или еще что-то?

Kuks 12 апр 2007 в 22:46

Ну тут уже от случая зависит, скажем если картинки заливают тоже свои заморочки :) ну и т.д.

Biollante 12 апр 2007 в 08:19

Для ASP/MSSQL это еще более характерно из-за возможности выполнять несколько SQL запросов в одном вызове функции.

SCoon 12 апр 2007 в 08:27

Не счет "более характерно" — не согласен. Все же немногие на ходу конструируют sql-запросы.

А вот с тем, что в случае возникновения дыры она оказывается более опасной — согласен.

Biollante 12 апр 2007 в 08:34

Процентное соотношение "скриптов вообще - кривых скриптов с дырками" по моему от языка вообще не зависит :)
Лично ковырял SQL injection в скрипте на ColdFusion.

pento 12 апр 2007 в 08:21

Отлично, сейчас заценим! =)

m0sia 12 апр 2007 в 19:50

попробовал. впринципе удобная штука. не хватает только кнопочки на панель для включения и выключения hackbar

pvasili 3 авг 2007 в 15:40

Правая кнопка мыши легко заменяет кнопку (RTFM) :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий