Գուցե շատերը ծանոթ չեն այս հասկացողության հետ, բայց արդեն վաղուց ուսումնասիրում եմ վեբ անվտանգության ոլորտը, և ինձ համար առաջնային խնդիրներից մեկը հենց ֆիշինգն է: Հենց այդ պատճառով էլ այսօր ուզում եմ մի քիչ գրել դրա մասին, և տեղեկացնել շատերին այս երևույթի վտանգների մասին:
Փորձեմ ոչ ֆորմալ տեսքով բացատրել այս երևույթի իմաստը: (more…)
Ճիշտն ասած, էս վերջերս չէի հասցնում բլոգիս մեջ գրել, բայց էսօրվա ԲԼՈԳԵՐՆԵՐԻ ԱԿՈՒՄԲԻ ԱՌԱՋԻՆ ՀԱՆԴԻՊՈՒՄԻՑ հետո մի տեսակ էլի էն էնտուզիազմը մտավ մեջս, ասեց “Ախպեր արի համաձայնվի,որ շատ լավ էր”: Բայց ես ասում եմ. “Չէ… լավ չէր… ՄԱՀ ԷՐ…”: Հասկացողը հասկացավ ասածս…չհասկացողն էլ հասկացավ իրա ուզած ձևով… ՄԻ ԽՈՍՔՈՎ… Գլուխ գովալ չլնի… ասեք. “Դե Նեոմեդիան ա կազմակերպել հավաքը, ինքն էլ պիտի տենց ասի, որովհետև Նեոմեդիայից ա…”:
Չեմ ուզում գրել մանրամասն, թե ով ինչ ասեց, ով ինչով պատասխանեց առաջինի ասածին: Թե չէ կստացվի կինոյի սցենար… (more…)
ՄԱՍ 1.
SQL Injection-ը բավականին լավ գործիք է հակերի ձեռքին, որպեսզի ստանա ուրիշի սերվեր մուտք գործելու հնարավորություն: Եվ չնչին ցանկության դեպքում /իսկ հակերների մոտ այդ չնչին ցանկությունը այլ մարդկանց համար ահռելի մեծ է/ նա կստանա այդ հնարավորությունը 
Coder inside
Մեր ժամանակներում, տվյալների բազայի հետ աշխատում են համարյա բոլոր ծրագրավորման լեզուներով, օրինակ` BASIC, C++, Java, PERL, PHP, Assembler և նույնիսկ JavaScript! Շատ հաճախ տվյալների բազան օգտագործում են ֆինանսական որոշակի խնդիրների լուծումների, հաշվապահության, կադրերի կառավարման և շատ այլ ոլորտների մեջ, բայց իրենց մեծ տարածումը տվյալների բազաները գտան հենց ինտերնետում:
Տվյալների բազաները հաճախ օգտագործվում են ՎԵԲ ԾՐԱԳՐԱՎՈՐՄԱՆ մեջ: Նրանք օգնության են հասնում օրինակ գրանցված անդամների տվյալների պահպանման, կայքում որոնում իրականացնելու և շատ այլ դեպքերում: Տվյալների բազաներին դիմելու համար օգտագործվում են այսպես ասած սերվերային տեխնոլոգիաները, ինչպիսիք են` PHP, PERL, ASP և այլն: Ու հենց այստեղից էլ սկսվում է ամենահետաքրքիրը: Որովհետև երբ սերվերի վրա տեղադրված են բոլոր թարմացումները, իսկ ֆայրվոլն արգելափակում է մուտքը բոլոր պորտերով, բացի 80-ից, կամ երբ անհրաժեշտ է մուտք գործել համակարգ` որոշակի տվյալների համար, հակերին միայն մնում է օգտվել ինչի՞ց… Դե իհարկե SQL Injection-ից/այսուհետ SQL-ինյեկցիա/: Այս “գործողության” իմաստը կայանում է ՎԵԲ ՏԵԽՆՈԼՈԳԻԱՆԵՐԻ սխալների օգտագործումը SQL-ի օգնությամբ: Բանը նրանում է, որ շատ վեբ կայքեր, իրենց գրանցված անդամների տվյալների մշակման համար կազմում են որոշակի SQL-հրամաններ, որոնք կատարում են փոփոխություններ տվյալների բազայի մեջ: Այս հրամանների օգտագործումը կարող է հանգեցնել հետաքրքիր արդյունքների… (more…)
Ուրեմն ինչից սկսեմ… Հեռվից գամ երևի:
Ընկերներիցս մեկի հետ ակումբ էինք գնացել, ավելի ճիշտ նա հրավիրել էր ակումբ, ես էլ ընկերակցեցի: Մի խոսքով ակումբից դուրս եկա, քայլում էի պրոսպեկտով/Մաշտոցի պողոտա/, ու իմ առջև նկատեցի երկու թմբլո ոտքեր` մինչև պորտային հատվածները բաց: Ճիշտ ա, յուբկա կոչեցյալ կար հագին, բայց ավելի լավ էր ընդհանրապես չհագնել, քան նմանը հագնել:
Բնականաբար “գեղեցկուհուն” անցնելիս/աբգոն անելիս/, շրջվեցի, որ հայավարի զննեմ ու առաջ անցա, բայց զգացի, որ հետևիցս ինչ-որ ձայն էկավ:
Ասում եմ “Ի՞նչ”, սա էլ թե.”Էս դիմացի գնացող աղջկա ոտքերի արանքով կռազ էլ կանցնի”: Նայում եմ դիմացի աղջկան, նորմալ աղջիկ ա, ուղղակի մարդու ուտքերը մի քիչ ծուռ են… Հիմա ինչ անենք…
Ուրեմն էս պո*նիկը չի մտածում իրա թմբլո, ծայրից ծայր բաց ոտքերի մասին, սրան նրան ա ձեռ առնում…
Էհ.. Տեր Աստված, եթե նմանները պիտի արդեն խոսելու իրավունք ունեն, և դեռ մի բան էլ ավելին` բերանը լկտիաբար բացեն, մի հարց պիտի տամ քեզ. “Էս ո՞ւր ես մեզ տանում”:
Էլ չպատմեմ, թե սրա հետ խոսակցության շարունակությունը ոնց եղավ, բայց էն որ սրա նմանները մենակ պիտի անհագուրդ սեքսի մասին խոսեն, ու վերջ… ՍԱ ՀԱՍՏԱՏ:
Աստված, հետևի գառներիդ, իրար միս են ուտում…
Համակարգը` e107 0.x
Այս բացը թույլ է տալիս գարնցված անդամին կատարել XSS հարձակում համակարգի վրա: Բացն առաջացել է “Referer” HTTP վերնագրային տվյալների ոչ լրիվ մշակումից: Հարձակվողը կարող է աշխատեցնել փոփոխական սկրիպտեր “թիրախ”-ի համակարգչի բրաուզերում:
Ահա և Exploit-ը
Referer: ‘><script>alert(document.cookie)</script>
Ես Armenix-ում