Как взламывают сайты? HTML, JS и SQL инъекции (Уязвимости веб сайтов)

Рет қаралды 45,259

Күн бұрын

В этом ролике рассмотрим как с помощью различных видов инъекций происходит взлом веб сайтов, утечка персональных данных, посмотрим на то, какие они бывают - SQL инъекции, HTML инъекции и JS инъекции, а также ответим на вопрос, как защитить свой сайт от взлома такими инъекциями.
82% сайтов содержит различного рода уязвимости, и вопрос как хакеры взламывают сайты не такой уж сложный, ответить на него легко. Как взломать сайт? Ищи дыры на нем, для внедрения инъекций. Для это часто используют различного рода уязвимости. Уязвимости php сайтов очень часто встречаются, вероятно из-за подхода в разработке, и на php сайтах очень часто можно применить подобные инъекции.

Пікірлер: 79

@ivanovo37 4 жыл бұрын

Дмитрий про двухвакторную авторизацию не в ту сторону считаю ушли. Если после того как пользователь 2-х факторно авторизовался и у него стырили куки сессии, чтобы злоумышленник не смог с этим что либо сделать нужно чтобы проверялся IP адрес(или + UserAgent(браузер), хотя его тоже могут скопрометировать перехватив в момент воровства сессии, так что IP пользователя проверить важнее) с которого далее будет использоваться сессия. Хотя и это может не помочь если дырка на столько велика что можно JS любой выполнить пока пользователь ещё на сайте. Вот смотрите, внедряется код который связывается по ajax или WebSoket с сервером злоумышленника. И пока пользователь не закрыл сайт от имени вкладки пользователя злоумышленникак может выполнять любые GET и POST запросы с использованием JavaScript причем абсолютно скрыто визуально. Тут я добавлю, что паниковать читателям не надо, ведь такая атака сложна в реализации даже если дырка есть. И если такое и производить то как правило цель должна оправдывать время потраченное на подготовку.

@DZayceffChannel 4 жыл бұрын

С двух факторной авторизацией да обычно идет привязка по ip + useragent, но скорее только useragent и возможно диапазон ip (не точное совпадение). Часто называют это привязкой к устройству, в принципе тут можно и без двух-факторной потребовать повторную авторизацию.

@ivanovo37 4 жыл бұрын

@@DZayceffChannel добавлю что иногда даже не по диапазону IP а по коду MNT-BY провайдера, например мой определяется как IVTELECOM-MNT (Ростелеком Ивановской области), или вообще по провайдеру, так как IP выдаваться разных классов может, то есть даже первая цифра разная. То есть вопрос одного IP, диапазона или кода провайдера неоднозначен. И кто как решает.

@LenaTDDS 4 жыл бұрын

А ничего что не у всех статический айпи?

@МаринаАнфилофьева 3 жыл бұрын

А вы в этом смотрю разбираетесь? Просто нужна помощь толковая,не окажете?

@aliqalandarli3602 Жыл бұрын

Нужна помощь есть сайт который обманывает людей можете оказать помощь???

@evil7609 4 жыл бұрын

"умные" люди после просмотра пошли лезть в код сайтов XD

@DZayceffChannel 4 жыл бұрын

хах, на самом деле очень многие даже средние разработчики не в курсе про то, какие уязвимости бывают у сайтов. Порой я задаю такие вопросы на собеседованиях и где-то 1 из 5 человек, что-то немного знает.

@ivanovo37 4 жыл бұрын

@@DZayceffChannel Дмитрий дело в том что эти разработчики начали изучение с статьи по CMS а не по основам языка. Просто кто то изучил язык и сам пробовал написать CMS или FrameWork и он вкурсе как и что могут ломать, потому что возможно уже наступил на грабли, а кто то думает что CMS и так безопасна и может ещё спросить а зачем вообще о этом думать, ведь какой нибудь Bitrix уже наверняка о этом подумал.

@alijonalimov6093 4 жыл бұрын

@@ivanovo37 +++++++

@ivanovo37 4 жыл бұрын

@@alijonalimov6093 ))

@shodiev777 Жыл бұрын

Я: mousedown="return false";

@tigranhar2212 Жыл бұрын

очень мало просмотров на ютубе,хочу поменять цифру просмотров.Как делать?

@Delaidengikgz 6 ай бұрын

Пацаны есть кто может взломать сайт нормально заработаем?

@renaalieva6313 3 жыл бұрын

Пойду проверять сайты на "уязвимость"

@Lexsi2002 Жыл бұрын

как насчет рассказа, как сделать оффлайн версию - онлайн игры

@oleksaveres7536 4 жыл бұрын

Интересно! Продолжай в том же духе. Было бы неплохо выкатывать примеры ко всему прочему. Спасибо!

@irinakarovich770 2 жыл бұрын

Дмитрий .если взломали ТВ страничку. Если ты дала данные своего паспорта можно что то сделать?

@DmitriyZaytseff 2 жыл бұрын

Не очень хорошая ситуация, конечно, если это было не фото пасспорта, то еще не так страшно. Если взломали страничку ТВ (я предполагаю на ТВ-приставке), то нужно ее повторно перепрошить в любом сервисе, который это умеет делать. Еще возможно сбросить авторизацию со всех аккаунтов или поменять пароли (например с аккаунтов ютуба и других сервисов). Но если это централизированный взлом был ТВ провайдера, то лучше обратиться к ним в тех поддержку.

@ilqarbaqirov2226 11 ай бұрын

по литцу видно вроде хороший парень но по теме все что не надо все рассказалбучитель ни какой

@mitivil1134 3 жыл бұрын

Ну конечно если запросы делать помимо (controller model) сразу напрямую из браузера пользователя в базу, в таком случае будет капец ))))). Встречал таких умельцев и даже на крупных интернет площадках )))).

@DZayceffChannel 3 жыл бұрын

Бывают еще баги в экранировании спец символов при построении запросов.

@mitivil1134 3 жыл бұрын

@@DZayceffChannel Да и такое бывает часто.... согласен.

@miharu3188 3 жыл бұрын

Порожняк без примера

@gimliredbeard 4 жыл бұрын

Через .htaccess можно блокировать такое)

@DZayceffChannel 4 жыл бұрын

Можно да, но не всё, htaccess только в том случае, если проект работает на сервере apache.

@Zganshin 3 ай бұрын

Первый ютюбер с микроволновой в кадре 😅

@daniilukraine3611 3 жыл бұрын

Шутку про 0-й вариант поймут только программисты ))

@DZayceffChannel 3 жыл бұрын

Когда хотел начать с первого варианта, уже начал, а потом вспомнил, что есть что-то еще и назвал его нулевым и получилась шутка))

@daniilukraine3611 3 жыл бұрын

@@DZayceffChannel Ну да) Тут git log не получится ) Тут переделивать нужно ))

@alijonalimov6093 4 жыл бұрын

Для начинающих ,вроде, нормально, а вот для олдов в веб-программировании не очень))))

@DZayceffChannel 4 жыл бұрын

Олды не сидят на ютубе и не ищут ответы в подобных роликах))

@alijonalimov6093 4 жыл бұрын

@@DZayceffChannel Вы правы ) Только хардкор, только документация))))) 1)developer.mozilla.org/ru/docs/Web/JavaScript 2)www.php.net/docs.php 3)www.python.org/doc/

@fdds4674 3 жыл бұрын

Я знаю язык программирования html, на некоторых сайтах есть уязвимость, что ссылка есть а там крч айди, номера, бывают хэш если расшифровать там пароль + айди от глав. админа и т.д.

@darksnaper 3 жыл бұрын

Язык программирования 👍

@ДарханСерикбай-ч7с 3 жыл бұрын

Html не яп. Это язык разметки

@ЖекаКривошеев-п5г 3 жыл бұрын

@@ДарханСерикбай-ч7с Ты программист

@antonkuzmich366 Жыл бұрын

Html-не язык программирования, а всего лишь язык разметки. Язык программирования, который в последующем связывается с Html, является js либо php

@imbydlo1552 4 жыл бұрын

Дима: -ОУ-АЗ, -ОУ-АЗ ГП: ОУ-ДАБЛЬЮ-ЭС-ПИ, ОУ-ДАБЛЬЮ-ЭС-ПИ Ржал под столом :) Жду больше шуток на ваших видосиках!

@iamnobody5229 2 жыл бұрын

Читаеш, а не расказываещь. Ненавижу!!!!

@АлександрВальвачев-я6ъ 3 ай бұрын

А ты сам хоть что-то хорошего сделал???

@bezdna7366 3 жыл бұрын

неприятно, когда автор сам не понимая действия, читает заготовленный текст растянутый на 10 минутный ролик.

@DZayceffChannel 3 жыл бұрын

Я этот текст писал, я всё отлично понимаю и разбираюсь в теме. Ролик не растянут. Если вам кажется он долгим, на ютубе есть 2х ускорение.

@bezdna7366 3 жыл бұрын

@@DZayceffChannel Я понимаю что вы этот текст писали) Просто вы его так бездушно прочли...(

@fantaizer4199 3 жыл бұрын

Вторая часть есть?)

@ИванКузнецов-э4ю 2 жыл бұрын

Как думаеш писать читы для онлайн игр плохо?

@DZayceffChannel 2 жыл бұрын

Да, это в теории уголовно наказуемо

@antonkuzmich366 Жыл бұрын

Если есть спрос, то нет.

@focu7nik626 25 күн бұрын

@@antonkuzmich366если есть спрос на накркоту, то производить и продавать ее получается тоже не плохо?

@grilore 3 жыл бұрын

Случайно наткнулся на канал, и в какой-то степени узнал себя) По видео, можно попробовать миксовать - теория/практика Или хотя бы по мере рассказа вставлять полноэкранную визуализацию, так будет приятнее смотреть

@DZayceffChannel 3 жыл бұрын

Да я бы и рад разнообразить, но пока не хватает банально на это времени, даже на такой ролик у меня уходит минимум 5 часов времени, это съемка, монтаж, подбор референсов для видео и публикация на ютубе. А в среднем 6-7 часов на ролик длительностью 10-15 минут.

@ivanovo37 4 жыл бұрын

Рассчитываю, что у Вас не творческий кризис, а Вы просто заняты. И что новые видео на канале будут появляться.

@DZayceffChannel 4 жыл бұрын

Я да занят частично, писал сценарий к новому ролику в новом для меня формате - история ит, посмотрим что получится, формирую еще базу видео роликов для разнообразия видеоряда

@ivanovo37 4 жыл бұрын

@@DZayceffChannelОтлично, теперь знаю что не забросили)

@LenaTDDS 4 жыл бұрын

Кстати, иногда можно использовать инъекции для заливки шелла и с последующим сливом сайта. И еще, можно еще также использовать csrf токен

@ivanovo37 4 жыл бұрын

Расскажите пожалуйста подробнее про первый тип. что именно имеете ввиду и как примерно реализуется?

@DZayceffChannel 4 жыл бұрын

Очень легко реализуется. Представь форму для отправки, где можно загружать файлы. Загружаешь php файл, а проверки нет и после загрузки он выполняется. Ну или какая то инъекция, которая позволит выполнить скрипт прямо на сервере.

@DZayceffChannel 4 жыл бұрын

csrf токен да, защита от межсайтового выполнения скрипта. Но если не ошибаюсь, сейчас в http есть заголовки, которые запрещают это делать.

@LenaTDDS 4 жыл бұрын

@@DZayceffChannel небольшое дополнение - нужно ставить проверку на расширение файлов.

@LenaTDDS 4 жыл бұрын

@@ivanovo37 т.к. автор уже ответил. Шелл - это php файл,в который позволяет просматривать твои файлы на сервере, и иногда даже изменять их

@SerjLabLive 4 жыл бұрын

Добрый день, можно уроки сделать как создавать лаунчеры с верификацией файлов в DevelNext, я думаю это хорошо поднимит подписчиков

@DZayceffChannel 4 жыл бұрын

Пока уроки делать намного сложнее, чем обычное видео, поэтому я лучше это время потрачу на разработку. Даже на создание это видео в сумме ушло около 5-6 часов. В среднем 2-3 часа на 5 минут. Если делать качественный видео урок по лаунчерам, то нужно затратит дольше времени и я бы лучше сделать более общий урок по лаунчерам, не завязанный только на DN, чтобы расставить вообще все точки над И. Вообще, тема конечно популярна с лаунчерами, но тема уроков по программированию не очень.