LINUX.ORG.RU
Ответ на: комментарий от StrongDollar

есть автоматические утилиты поиска подозрительных мест в коде?

аха, его ещё некоторые мозгом называют =D

dada ★★★★★
()
Ответ на: комментарий от cipher

А есть какой-нибудь онлайн сервис, которому можно ввести URL страницы с выводом phpinfo, а он скажет - есть уязвимости или нет?

StrongDollar
() автор топика

Быстрее переписать, если сайт - монстр типа друпала

minakov ★★★★★
()
Ответ на: комментарий от dada

если бы у тебя был они были (мозги), ты бы по-быстрому такую страницу, проверяющую phpinfo запилил, повесил бы на неё рекламу, запустил вирусную рекламную компанию чтобы все проверялись и срубил бы денег.

StrongDollar
() автор топика
Ответ на: комментарий от StrongDollar

Еслиб они были у тебя-тыб понял что ИИ на текущих калькуляторах создать невозможно.(точнее сложнее шаблонной логики неполучится,а программы пишутся людьми...но да их у тебя нет)

anonymous
()

На отсутствие экранирования запросов, например.

puding
()
Ответ на: комментарий от StrongDollar

Сомнительно. пхпинфо содержит лишь данные о окружении в котором работает скрипт, как сервис по таким данным сможет сказать тебе что там не так (ну разве что какая-то уязвимость осталась непатченой).

хотя, я вроде бы когда-то и ходил по сервису какому-то - ты ему скармливал урл - он тебе отдавал список возможных проблем/уязвимостей.

а вообще тебе это все-равно не поможет.

rikardoac
()
Ответ на: комментарий от minakov

Видишь ли, тут результат не важен. Важно что люди будут приходить, реклама будет показываться. А будет найдена уязвимость или нет - это другой вопрос.

А у программы, которая сайты пишет - результат будут проверять

StrongDollar
() автор топика

Проверь каждую обработку данных, которые может передать посетитель сайта.

Lorchanin
()
Ответ на: комментарий от StrongDollar

хм, ну тогда скопируй исходник в гугл-переводчик и

А будет найдена уязвимость или нет - это другой вопрос

авось найдет. «Самописец» можно написать из любой CMS, разделив на модули и создав пару десятков шаблонов (кстати, есть же Artisteer - по его типу дать пользователю возможность менюшки перемещать и фон менять)

minakov ★★★★★
()

тестирование методом белого ящика. /thread

anonymous
()

Пройди hax.tor.hu, вопросы отпадут.

anonymous
()
Ответ на: комментарий от xtraeft

оно даст версии установленного ПО. Эти версии можно проверить по онлайн-базе уязвимостей ПО конкретных версий.

Вы исходите из предположения, что все новые патчи обязательно накатывают. А я из практики знаю, что применяется подход «не сломалось - не чини».

StrongDollar
() автор топика
Ответ на: комментарий от StrongDollar

оно даст версии установленного ПО. Эти версии можно проверить по онлайн-базе уязвимостей ПО конкретных версий.

в подавляющем (!) большинстве случаев уязвимость не в версии ПО, а сорцах скриптов.

xtraeft ★★☆☆
()
Ответ на: комментарий от StrongDollar

phpinfo показывает только информацию о php и его модулях. Как по этой инфе можно найти уязвимости в коде? о_О

shell-script ★★★★★
()

Если бы это было так легко и просто, то не существовало бы дыр, потому как любой разработчик после написания очередной CMS'ки проверял бы этим универсальным инструментом и быстро всё исправлял.

А так приходится сидеть и подробно изучать всякие там sql-запросы, обработку форм, способы загрузки файлов и ещё кучу всякого хлама.

shell-script ★★★★★
()

В теме топика речь идет об исходниках сайта, позже выясняется что есть инфо из phpinfo. phpinfo случаем не со своего сервера, куда закинуты это злополучные исходники, а то мало ли?)

duck
()
Ответ на: комментарий от duck

В теме топика речь идет об исходниках сайта, позже выясняется что есть инфо из phpinfo.

да-да-да, эти орлы в исходниках оставили phpinfo() и она же есть на сайте в продакшене.

StrongDollar
() автор топика
Ответ на: комментарий от minakov

скопируй исходник в гугл-переводчик

вот, у гугла мозги есть, поэтому у них есть куда скопировать и они на этом гребут деньги лопатой.

а ты не гугл. в этом разница

StrongDollar
() автор топика
Ответ на: комментарий от StrongDollar

есть автоматические утилиты поиска подозрительных мест в коде?

Конечно есть, grep.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.