Как взламывают сайты? HTML, JS и SQL инъекции (Уязвимости веб сайтов)

Поділитися
Вставка
  • Опубліковано 28 лис 2024

КОМЕНТАРІ • 77

  • @ivanovo37
    @ivanovo37 4 роки тому +16

    Дмитрий про двухвакторную авторизацию не в ту сторону считаю ушли. Если после того как пользователь 2-х факторно авторизовался и у него стырили куки сессии, чтобы злоумышленник не смог с этим что либо сделать нужно чтобы проверялся IP адрес(или + UserAgent(браузер), хотя его тоже могут скопрометировать перехватив в момент воровства сессии, так что IP пользователя проверить важнее) с которого далее будет использоваться сессия. Хотя и это может не помочь если дырка на столько велика что можно JS любой выполнить пока пользователь ещё на сайте. Вот смотрите, внедряется код который связывается по ajax или WebSoket с сервером злоумышленника. И пока пользователь не закрыл сайт от имени вкладки пользователя злоумышленникак может выполнять любые GET и POST запросы с использованием JavaScript причем абсолютно скрыто визуально. Тут я добавлю, что паниковать читателям не надо, ведь такая атака сложна в реализации даже если дырка есть. И если такое и производить то как правило цель должна оправдывать время потраченное на подготовку.

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому +2

      С двух факторной авторизацией да обычно идет привязка по ip + useragent, но скорее только useragent и возможно диапазон ip (не точное совпадение). Часто называют это привязкой к устройству, в принципе тут можно и без двух-факторной потребовать повторную авторизацию.

    • @ivanovo37
      @ivanovo37 4 роки тому

      @@DZayceffChannel добавлю что иногда даже не по диапазону IP а по коду MNT-BY провайдера, например мой определяется как IVTELECOM-MNT (Ростелеком Ивановской области), или вообще по провайдеру, так как IP выдаваться разных классов может, то есть даже первая цифра разная. То есть вопрос одного IP, диапазона или кода провайдера неоднозначен. И кто как решает.

    • @LenaTDDS
      @LenaTDDS 4 роки тому

      А ничего что не у всех статический айпи?

    • @МаринаАнфилофьева
      @МаринаАнфилофьева 3 роки тому

      А вы в этом смотрю разбираетесь? Просто нужна помощь толковая,не окажете?

    • @aliqalandarli3602
      @aliqalandarli3602 Рік тому

      Нужна помощь есть сайт который обманывает людей можете оказать помощь???

  • @evil7609
    @evil7609 4 роки тому +26

    "умные" люди после просмотра пошли лезть в код сайтов XD

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому +5

      хах, на самом деле очень многие даже средние разработчики не в курсе про то, какие уязвимости бывают у сайтов. Порой я задаю такие вопросы на собеседованиях и где-то 1 из 5 человек, что-то немного знает.

    • @ivanovo37
      @ivanovo37 4 роки тому

      @@DZayceffChannel Дмитрий дело в том что эти разработчики начали изучение с статьи по CMS а не по основам языка. Просто кто то изучил язык и сам пробовал написать CMS или FrameWork и он вкурсе как и что могут ломать, потому что возможно уже наступил на грабли, а кто то думает что CMS и так безопасна и может ещё спросить а зачем вообще о этом думать, ведь какой нибудь Bitrix уже наверняка о этом подумал.

    • @alijonalimov6093
      @alijonalimov6093 4 роки тому

      @@ivanovo37 +++++++

    • @ivanovo37
      @ivanovo37 4 роки тому

      @@alijonalimov6093 ))

  • @oleksaveres7536
    @oleksaveres7536 4 роки тому +3

    Интересно! Продолжай в том же духе. Было бы неплохо выкатывать примеры ко всему прочему. Спасибо!

  • @tigranhar2212
    @tigranhar2212 Рік тому +1

    очень мало просмотров на ютубе,хочу поменять цифру просмотров.Как делать?

  • @grilore
    @grilore 4 роки тому

    Случайно наткнулся на канал, и в какой-то степени узнал себя)
    По видео, можно попробовать миксовать - теория/практика
    Или хотя бы по мере рассказа вставлять полноэкранную визуализацию, так будет приятнее смотреть

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому

      Да я бы и рад разнообразить, но пока не хватает банально на это времени, даже на такой ролик у меня уходит минимум 5 часов времени, это съемка, монтаж, подбор референсов для видео и публикация на ютубе. А в среднем 6-7 часов на ролик длительностью 10-15 минут.

  • @Lexsi2002
    @Lexsi2002 Рік тому +1

    как насчет рассказа, как сделать оффлайн версию - онлайн игры

  • @renaalieva6313
    @renaalieva6313 3 роки тому +3

    Пойду проверять сайты на "уязвимость"

  • @irinakarovich770
    @irinakarovich770 2 роки тому +1

    Дмитрий .если взломали ТВ страничку. Если ты дала данные своего паспорта можно что то сделать?

    • @DmitriyZaytseff
      @DmitriyZaytseff 2 роки тому

      Не очень хорошая ситуация, конечно, если это было не фото пасспорта, то еще не так страшно. Если взломали страничку ТВ (я предполагаю на ТВ-приставке), то нужно ее повторно перепрошить в любом сервисе, который это умеет делать. Еще возможно сбросить авторизацию со всех аккаунтов или поменять пароли (например с аккаунтов ютуба и других сервисов). Но если это централизированный взлом был ТВ провайдера, то лучше обратиться к ним в тех поддержку.

  • @Zganshin
    @Zganshin 5 місяців тому

    Первый ютюбер с микроволновой в кадре 😅

  • @LenaTDDS
    @LenaTDDS 4 роки тому +3

    Кстати, иногда можно использовать инъекции для заливки шелла и с последующим сливом сайта.
    И еще, можно еще также использовать csrf токен

    • @ivanovo37
      @ivanovo37 4 роки тому

      Расскажите пожалуйста подробнее про первый тип. что именно имеете ввиду и как примерно реализуется?

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому +1

      Очень легко реализуется. Представь форму для отправки, где можно загружать файлы. Загружаешь php файл, а проверки нет и после загрузки он выполняется. Ну или какая то инъекция, которая позволит выполнить скрипт прямо на сервере.

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому +1

      csrf токен да, защита от межсайтового выполнения скрипта. Но если не ошибаюсь, сейчас в http есть заголовки, которые запрещают это делать.

    • @LenaTDDS
      @LenaTDDS 4 роки тому

      @@DZayceffChannel небольшое дополнение - нужно ставить проверку на расширение файлов.

    • @LenaTDDS
      @LenaTDDS 4 роки тому

      @@ivanovo37 т.к. автор уже ответил. Шелл - это php файл,в который позволяет просматривать твои файлы на сервере, и иногда даже изменять их

  • @fantaizer4199
    @fantaizer4199 3 роки тому

    Вторая часть есть?)

  • @fdds4674
    @fdds4674 4 роки тому +1

    Я знаю язык программирования html, на некоторых сайтах есть уязвимость, что ссылка есть а там крч айди, номера, бывают хэш если расшифровать там пароль + айди от глав. админа и т.д.

  • @daniilukraine3611
    @daniilukraine3611 3 роки тому +1

    Шутку про 0-й вариант поймут только программисты ))

    • @DZayceffChannel
      @DZayceffChannel  3 роки тому +1

      Когда хотел начать с первого варианта, уже начал, а потом вспомнил, что есть что-то еще и назвал его нулевым и получилась шутка))

    • @daniilukraine3611
      @daniilukraine3611 3 роки тому

      @@DZayceffChannel Ну да)
      Тут git log не получится ) Тут переделивать нужно ))

  • @mitivil1134
    @mitivil1134 3 роки тому +1

    Ну конечно если запросы делать помимо (controller model) сразу напрямую из браузера пользователя в базу, в таком случае будет капец ))))).
    Встречал таких умельцев и даже на крупных интернет площадках )))).

    • @DZayceffChannel
      @DZayceffChannel  3 роки тому +1

      Бывают еще баги в экранировании спец символов при построении запросов.

    • @mitivil1134
      @mitivil1134 3 роки тому +1

      @@DZayceffChannel Да и такое бывает часто.... согласен.

  • @shodiev777
    @shodiev777 2 роки тому +2

    Я: mousedown="return false";

  • @imbydlo1552
    @imbydlo1552 4 роки тому

    Дима: -ОУ-АЗ, -ОУ-АЗ
    ГП: ОУ-ДАБЛЬЮ-ЭС-ПИ, ОУ-ДАБЛЬЮ-ЭС-ПИ
    Ржал под столом :)
    Жду больше шуток на ваших видосиках!

  • @ИванКузнецов-э4ю
    @ИванКузнецов-э4ю 2 роки тому

    Как думаеш писать читы для онлайн игр плохо?

    • @DZayceffChannel
      @DZayceffChannel  2 роки тому

      Да, это в теории уголовно наказуемо

    • @focu7nik626
      @focu7nik626 2 місяці тому

      @antonkuzmich366если есть спрос на накркоту, то производить и продавать ее получается тоже не плохо?

  • @alijonalimov6093
    @alijonalimov6093 4 роки тому +1

    Для начинающих ,вроде, нормально, а вот для олдов в веб-программировании не очень))))

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому +5

      Олды не сидят на ютубе и не ищут ответы в подобных роликах))

    • @alijonalimov6093
      @alijonalimov6093 4 роки тому +1

      @@DZayceffChannel Вы правы )
      Только хардкор, только документация)))))
      1)developer.mozilla.org/ru/docs/Web/JavaScript
      2)www.php.net/docs.php
      3)www.python.org/doc/

  • @miharu3188
    @miharu3188 4 роки тому +1

    Порожняк без примера

  • @gimliredbeard
    @gimliredbeard 4 роки тому +1

    Через .htaccess можно блокировать такое)

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому

      Можно да, но не всё, htaccess только в том случае, если проект работает на сервере apache.

  • @Delaidengikgz
    @Delaidengikgz 8 місяців тому

    Пацаны есть кто может взломать сайт нормально заработаем?

  • @ivanovo37
    @ivanovo37 4 роки тому

    Рассчитываю, что у Вас не творческий кризис, а Вы просто заняты. И что новые видео на канале будут появляться.

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому

      Я да занят частично, писал сценарий к новому ролику в новом для меня формате - история ит, посмотрим что получится, формирую еще базу видео роликов для разнообразия видеоряда

    • @ivanovo37
      @ivanovo37 4 роки тому

      @@DZayceffChannelОтлично, теперь знаю что не забросили)

  • @SerjLabLive
    @SerjLabLive 4 роки тому

    Добрый день, можно уроки сделать как создавать лаунчеры с верификацией файлов в DevelNext, я думаю это хорошо поднимит подписчиков

    • @DZayceffChannel
      @DZayceffChannel  4 роки тому +1

      Пока уроки делать намного сложнее, чем обычное видео, поэтому я лучше это время потрачу на разработку. Даже на создание это видео в сумме ушло около 5-6 часов. В среднем 2-3 часа на 5 минут. Если делать качественный видео урок по лаунчерам, то нужно затратит дольше времени и я бы лучше сделать более общий урок по лаунчерам, не завязанный только на DN, чтобы расставить вообще все точки над И. Вообще, тема конечно популярна с лаунчерами, но тема уроков по программированию не очень.

  • @bezdna7366
    @bezdna7366 3 роки тому

    неприятно, когда автор сам не понимая действия, читает заготовленный текст растянутый на 10 минутный ролик.

    • @DZayceffChannel
      @DZayceffChannel  3 роки тому

      Я этот текст писал, я всё отлично понимаю и разбираюсь в теме. Ролик не растянут. Если вам кажется он долгим, на ютубе есть 2х ускорение.

    • @bezdna7366
      @bezdna7366 3 роки тому

      @@DZayceffChannel Я понимаю что вы этот текст писали) Просто вы его так бездушно прочли...(

  • @ilqarbaqirov2226
    @ilqarbaqirov2226 Рік тому

    по литцу видно вроде хороший парень но по теме все что не надо все рассказалбучитель ни какой

  • @iamnobody5229
    @iamnobody5229 2 роки тому

    Читаеш, а не расказываещь. Ненавижу!!!!