Комментарии 29
Спасибо за столь полный набор ссылок, коллега.
Надеюсь, теперь желающие «попробовать свои умения в боевых условиях» найдут себе достойные легальные цели.
Надеюсь, теперь желающие «попробовать свои умения в боевых условиях» найдут себе достойные легальные цели.
НЛО прилетело и опубликовало эту надпись здесь
Огромное спасибо — действительно практически исчерпывающее ревью
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
А что там разбираться. Все параметры в запросах должны быть экранированы. Надо делать полное ревью
Так же даже если в запросе идет сравнение с числом, например WHERE id = 123 то лучше писать WHERE id = «123» ибо в таком случае возможно написать что-то вроде WHERE id = 1 AND SLEEP(20) например
Не экранировать надо, а использовать параметризованные запросы.
«Описания прошедших CTF с прохождением заданий (writeup) обычно выкладывают команды победителей (Leet More, EINDBAZEN, PPP), либо можно читать на специализированных форумах, например, rdot:
rdot.org/forum/forumdisplay.php?f=64»
Или, например, Leet More ^_^ leetmore.ctf.su/
Огромное Вам спасибо за статью! Даже понятия не имел, что есть подобные инструменты…
Acunetix вспомнили, а про их Web Vulnerability Scanner не сказали. Хорошая тулза, несмотря на то что полный тест может идти много часов. Но зато в конце подробный отчет.
Седьмая версия почти не падает.
Седьмая версия почти не падает.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимы по определению