Modex Apr 12 2007 at 00:21

HackBar — расширение для «хакеров»

1 min

7.5K

Firefox

+27

Comments 18

KAFLAN Apr 12 2007 at 01:05

Поигрался, понравилось )
Жаль инстремент в основном ориентирован на исследование уязвимостей в php,perl и т.п. Потому как sql injection в ASP .NET при использовании стандартных средств (параметризованные запросы) - нонсенс. Ковыряние с другими вкусностями
то же не очень полезны так как в ASP .NET сложно обойти вьювстейт, однако, полезными я для себя обнаружил:
- Integer up/down on a selected string
- Base64 (UU) encode/decode a selected string
- URL encode/decode a selected string
- MD5 hash a selected string

SCoon Apr 12 2007 at 10:57

ql injection в ASP .NET при использовании стандартных средств (параметризованные запросы) - нонсенс

...равно как и в PHP/perl. SQL injection происходит только когда код sql-запроса строится в скрипте с использованием данных пользователя. И в ASP-скриптах я такое также видел.

Для PHP эти проблемы более характерны исключительно по причине использования MySQL и, следовательно, неиспользования параметров запросов.

Kuks Apr 12 2007 at 11:39

В php это очень просто решается одной из двух функций :)

SCoon Apr 12 2007 at 11:43

Во всех языках это решается включением мозга. :)

smart Apr 12 2007 at 12:42

Или обязательным использованием placeholders ;)

SCoon Apr 12 2007 at 12:43

Использование плейсхолдеров это одно из следствий включения мозга. :)

smart Apr 12 2007 at 12:59

Без мозга, разумеется, никак не обойтись ;) Я имел в виду то, что прописывание обязательного использования placeholders в корпоративных стандартах кодирования облегчает жизнь главного code-maintain'ера :)

SCoon Apr 12 2007 at 13:03

Не помогает. Я находил при code review куски прямого приклеивания пользовательских строк к SQL-выражению в коде, написанном Team Lead'ом с опытом больше 5 лет. Просто во время написания этого кода его мозг был выключен. Это я называю "ass-powered development".

junk Apr 12 2007 at 23:04

ткните пожалуйста ссылкой как избежать sql-injection
очень хочу научиться писать безопасный код

пока обхожусь addslashes

Kuks Apr 12 2007 at 23:20

addslashes и надо использовать, но когда числовые значения пишутся можно использовать intval(), она возвратит 0 если туда какуюто фигню написали вместо числа

junk Apr 12 2007 at 23:28

ух ты спасибо, про intval() не знал.

Это все меры по обработке пользовательских данных или еще что-то?

Kuks Apr 13 2007 at 02:46

Ну тут уже от случая зависит, скажем если картинки заливают тоже свои заморочки :) ну и т.д.

Biollante Apr 12 2007 at 12:19

Для ASP/MSSQL это еще более характерно из-за возможности выполнять несколько SQL запросов в одном вызове функции.

SCoon Apr 12 2007 at 12:27

Не счет "более характерно" не согласен. Все же немногие на ходу конструируют sql-запросы.

А вот с тем, что в случае возникновения дыры она оказывается более опасной согласен.

Biollante Apr 12 2007 at 12:34

Процентное соотношение "скриптов вообще - кривых скриптов с дырками" по моему от языка вообще не зависит :)
Лично ковырял SQL injection в скрипте на ColdFusion.

pento Apr 12 2007 at 12:21

Отлично, сейчас заценим! =)

m0sia Apr 12 2007 at 23:50

попробовал. впринципе удобная штука. не хватает только кнопочки на панель для включения и выключения hackbar

pvasili Aug 3 2007 at 19:40

Правая кнопка мыши легко заменяет кнопку (RTFM) :)

Show the best of all time