Приветствую! Продублирую своё мнение. Лично я за проведение конкурса или челленджа, но на мой взгляд главное не переборщить со сложностью заданий (уровней), так как для некоторых то или иное задание может быть сложным. Помню, когда-то на сайте "античат" были конкурсы по взлому. Если кому интересно, я когда-то делал ЮтубКвест состоящий из нескольких уровней с бонусом в конце - gthu9JVyOVA (ролик на ютубе, описание под видео, полную ссылку не даю, так как тут может быть включена блокировка ссылок), его можно считать как Цикада 3301 лайт :) Если прошёл уровень, оставил коммент, т.е. попал в таблицу рекордов. Первый уровень открыт для всех, все последующие скрыты для тех, кто не прошел предыдущие. Если кто знает подобные конкурсы или есть толковые идеи пишите.
Иван, в разработке более 5 лет, пишу на Java. Для нашего мира такие уязвимости уже даже не закрываются, все идет из коробки. Единственное, что настраиваем, это csrf и cors. Очень качественное видео, освежил базу. Спасибо!
Искал серебро, нашел золото. Очень интересная тема для обсуждения в данном видео, то, чего мне явно не хватало. Подписался. Благодарю за ваш труд, Иван.
Все новое - это хорошо забытое старое ) поэтому периодически нужно все повторять. Как оказывается, даже в рельсе можно кривой код написать и получить все эти уязвимости обратно )
Да, было дело́, нужен был другу пароль от аккаунта девушки в вк, это так 2009-2010 год был, и прям в форме почты пихал форму, где требовался пароль для подтверждения, и всё что вводилось в поле отправлялся на txt документ на бесплатном хостинге, готово, и да, после ввода пароля, чтобы жертва ничего не заподозрила ее действительно отправляло на сервис с открытками, эх... Какие простые были времена, сейчас сложно представить такие кражи, двухфакторные авторизации, с подтверждением с телефона... Теперь даже html форму не вставить в обычный почтовый клиент 😢... Кстати, друг уже женат на той жертве, наверное ничего плохого не увидел в ее переписке, возможно помог ему с выбором 😂
Да я и ранее этим не занимался, просто было как мимолётное хобби, так сказать любил "пакостить" по малолетству, ddosил бесячие ресурсы в локальной сети, крушил античит и играл с читами, сейчас мне уже почти под сорок лет... О, а ещё пиринговые сети p2p, помните? Ох какие перспективы открывались при расшаривании локального диска "С" 😄 Столько паролей было стырено с сохранялок браузеров
Как же мне повезло, что в предложках попало это видео...Пишу на нейросетях с 0 коммерческий проект без знаний программирования. Я 2 недели убил, чтобы решить проблему настройки CSRF, чуть было не отключил, но в итоге поборол проблему, что фронтенд не мог нормально принять от бэка этот токен. Теперь я знаю, что это значимая защита в проекте))
Огромное спасибо за дословную и интересную подачу !🔥 Продолжайте - хотелось бы видеть ещё больше подобного контента! Было бы таки ещё интересно узнать - аналогична ли структура взлома мобильных приложений? или "как мобильное приложение может быть взломано ?"
Спасибо! Помогло еще раз освежить эти знания. Это всегда надо помнить. Недавно написала симпатичная азиатка на кривом русском: "Ой, я ваша плохо понимать, а вы мой переводчик? Ой, нет? Ну я устала, я ошиблась. Я из Гонконга. У меня бизнес. Полечу в Россию. Хотите вас в кафе приглашу? Вы такой классный, хочу дружить. Только это у меня рабочий аккаунт. Вот вам мой личный. Добавьте меня в друзья, пожалуйста. И ссылка." Надо было ему сказать: "слыш Вася, кончай комедию ломать. И акцент у тебя галимо получается. Ты лучше скажи, что за тема у тебя? Куда CSRF мутишь?." Но я забанил этого пользователя просто и все. Жаль( Надо было постебаться)))
@@ivan.goncharov в любом фреймворке если конечно ты совсем не аутист чтоб делать специально такие грубые ошибки с нефильтрацией или том же ларавел csfr token тоже предусмотрен
@@IstMirWurstпод каждым подобным роликом на русском, очень много комментов что такое щас не работает и тд. При этом почему-то топ компании по типу гугла ежегодно платят миллионы за такие баги в их сервисах. Никто просто баги по типу xss или sql инъекций не тестит тупо втыкая payload, есть 1000 и 1 обход и комбинирование багов
Не понял, а как тут SQL инъекция срабатывает при обычном get запросе? На бэке это же должно как то обрабатываться, каким то образом превращаться в реальный SQL запрос... Или это как то связано именно с ruby on rails?
Должно обрабатываться, есть встроенные защиты от инъекции, но если неправильно сформировать запрос (как было показано в видео), то защиты не сработают.
Если взламывать сайты, писать разработчику, что нашел уязвимость и попросить его вознаграждение небольшое, то это не будет считаться как вымогательство/взлом сайта ?
Я не юрист, но вопрос интересный, спросил ChatGPT: 1. Взлом сайта: Независимо от намерений, несанкционированное проникновение на сайт или компьютерную систему является незаконным в большинстве стран. Это считается преступлением, даже если вы не нанесли вред. 2. Ответственность: Если вы нашли уязвимость без разрешения владельца сайта (например, через программу bug bounty или другую форму сотрудничества), и особенно если вы использовали её для доступа к защищенной информации, это может быть расценено как нарушение закона. 3. Вымогательство: Запрос денег за то, чтобы не раскрывать или не использовать уязвимость, также может квалифицироваться как вымогательство, даже если сумма относительно небольшая.
Прошу прощения, может я чего то не знаю. Но разве это уже не давно решенные проблемы на всех современных сайтах? Ну, если упустить из статистики то что было написано лет 10 назад но до сих пор работает и сайты которые делают студенты за 20 долларов.
Судя по комментариям, многим это интересно, значит до сих пор актуально ) Студенты тоже должны откуда-то узнавать эту инфу. Некоторым просто интересно как ломают сайты. Если не узнали ничего нового, то в следующий раз что-то посложнее рассмотрим)
Не работал с PDO, но на первый взгляд похоже на мини-копию рубишного ActiveRecord. А значит есть вероятность накосячить и там ) Вся суть видео - в том, что ошибки совершает программист. Даже если его защищает фреймворк, библиотеки, ангелы хранители, все равно допустить ошибку можно. Допустим вот такой код точно так же уязвим: $userInput = $_GET['user_input']; $sql = "SELECT * FROM users WHERE username = '{$userInput}'"; $stmt = $pdo->query($sql); Я помню в PHP есть еще настройки для экранирования кавычек, но их тоже вроде как-то можно обойти )
Ну если так подходить, то все ок будет ) на самом деле, везде есть возможности накосячить, и есть возможности добавить больше защиты. Главное - чтобы программист заботился и безопасности. Для этого и видео, как напоминалка о безопасности ) PS проходим опрос в закрепе, )
Да ладно. Достаточно напихать писюнов в команду разработки без должного контроля, а дальше через какое-то время хакеры и в весь большой проект напихают.
Про куки тема не раскрыта полностью, как они отрабатывают из скрипта, фрейма и т.п. Почему подтверждение критической операции по токену нужно завершать, а не по отправке формы. Можно ли в скрытом сформировать страницу и скрипт нужно сайта, и дергать её из главного потока пытаясь вырвать данные.
Браузер ничего не ищет, если он видит html-тег, его обязанность - как-то обработать этот тег. Чтобы браузер обработал alert(1) просто как текст, то в теле html это должно выглядеть как:
А не как . Т.е. знаки больше/меньше должны быть закодированы.
разве это не будет работать только локально? как этот код вообще попадет и ввполнится другому клиенту на его машине? Там же браузер получит JS и HTML, который выдаст сайт, а эти инъекции сайт как выдаст, если они по сути локально в вашем браузере? @@ivan.goncharov
Что-то я не понимаю вопрос. Надо вам найти ролики о том как работает Веб, как работает http-протокол, и как работает браузер. Тогда все встанет на свои места. В идеале почитать книгу Таненбаума "Компьютерные Сети". Шикарная книга, очень хочу сделать ролик по ней когда-нибудь, но не в ближайшем будущем.
SQL инъекции ушли в прошлое, когда в PHP добавили PDO. Я с тех пор никогда их не встречал ни одного запрос без плейсхолдеров уже лет 12. Сейчас это бородатая неактуалочка.
Я несколько лет работал в аутсорсинговой компании, там проекты менялись каждые 2 месяца, иногда и за 2 недели успевали дела поделать. Насмотрелся вообще всякого, особенно там, где индусы код писали, в америке много таких проектов ) Ну и слабо верится, что в PHP-мире все так идеально стало ) Битрикс с его кучей кривых плагинов еще жив, кстати?)
Кстати, лет 5 назад один америкос просил его проект доделать на PHP. Скинул код, а там в КАЖДОМ файле идет подключение к базе данных, в каждом файле конфиг и копи паст кучи функций. Я уверен где-то до сих пор пишут такой код, не говоря уже о допущенных уязвимостях )
Тяжело перенести это на свой язык. Я не делал экранизацию полей HTML потому что не работал с пользовательским вводом, но знаю что это нужная вещь. Остальное - наверное, не сработает. Если XSS не занесу в базу - все будет ок.
Современные сайты разрабатываются на базе каких либо движков или фреймворков , все эти банальные вещи уже лет 15 как неактуальны . разработчику о них даже думать не приходится т.к платформа в себе уже содержит все необходимые меры предосторожности , и не только платформа , на уровне веб.сервера так же многое перекрыто , да и браузер не дурак - в общем столько уровней защиты , что что-то придумать или обойти на таком уровне нереально. П.С Если программист что-то отключает , то к этому моменту вроде как уже должен понимать что отключает и к чему это приводит.
Я же и показываю в видео, что мне приходится отключать встроенные защиты для демонстрации. Но опять же, это не защищает от плохого кода (все вешать на GET-запросы, или использовать интерполяцию в SQL-запросах). Порог входа в программирование постоянно снижается, а вместе с ним снижается и понимание от чего и как нас защищает фреймворк. Это видео не для тех, кто вырос на PHP, а тех, кто начал с рельсы и никогда не задумывался о безопасности. К тому же, как я рассказал в видео, баги все еще встречаются ) и довольно серьезные баги (исполнение кода), которые опять же возникают по вине разработчиков. Поэтому все равно видео считаю полезным)
все эти уязвимости не актуальны уже лет так двадцать :D просто невозможно сделать сайт с этими уязвимостями, разве что прям специально делать их зачем-то. еще посмеялся, что Перец - это по русски соль :D Соль и перец - это хоть и похожие штуки, но разные!!! Даже если по какой-то причине не используется OAuth, а вручную хешируется, то будут использованы и соль и перец!
Про соль уже тут в комментах разобрались, не знал разницу, всегда думал это тонкости перевода ) бывает. Про бородатость ок, не спорю, но все равно все актуально )
Как было показано в видео, любая из них еще может присутствовать. Видео было записано для новичков, которые и могут допускать ошибки, потому что ни один курс по программированию об этом не рассказывает.
@@ivan.goncharov Да это не претензия) Просто у меня например, на моем языке программирования, та же SQL-injection отсекается библиотекой из коробки, то же самое и с CSRF. Я уже давно не думаю над данными проблемами ибо знаю что при использовании общепринятой библиотеки, которая в любом случае будет, эти проблемы уйдут. И я реально думал что примерно то же самое происходит и на других языках
@@aks964 я понимаю, что не претензия, просто пытаюсь донести, что библиотеки защищают, но ими нужно правильно пользоваться ) Rails один из первых фреймворков, где появилась красивая ORM со всеми возможными защитами. Но до сих пор люди неправильно формируют запрос, особенно часто это происходит в LIKE запросе, пишут where("name ILIKE '%#{params[:query]}'") - и тут защита уже не сработает. 200% в вашем языке то же самое )
@@ivan.goncharov Я пишу на java с spring data и spring security. При авторизации spring security делает строго свои запросы, и подобные вещи он отсечет 200 процентов) При работе с бд "руками" идет генерация запросов через hibernate или сам спринг и оно аналогично это все переэкронирует и ты тоже в эту уязыимость не впоришься. Впороться в данную уязвимость в тории если прям сильно захотеть то можно, но это нужно сильно постараться, так же как, например, сделать утечку памяти. ps "руками" пишу тоже запросы крайне редко, обычно делаешь метод в интерфейсе и по названию данного метода оно просто загенерирует запросы. Я уже забыл когда запросы писал руками (в приложении, так то в бд хожу частенько чтобы посмотреть чтото) на самом деле
Ну для рельсы тоже есть куча гемов, которые проверяют безопасность кода по многим параметрам, но опять же, не все их используют ) P.S. проходим опрос в закрепе )
Стоит защита, но бывает программисты ее обходят ) Особенно часто я видел это когда формируют запрос поиска через ILIKE: where("name ILIKE '%#{params[:query]}'")
Бесплатный Стилер с билдом читов для кс 1.6, залитый на ргхост, с оставленными комментариями по типу:» все, скачал, брат жив, только антивирус отключить нужно» как только экзешный файл открывался - сразу же удалялся, а все логины и пароли приходили на почту лол, во время было то
Вообще не понимаю прикола с оплатой и различных манипуляций с ней. У меня к сайту прикручена оплата картой от банка, в котором открыт расчетный счет. Вся эта часть работает на стороне банка. Все, что требуется от меня это чтобы сайт поддерживал все необходимые протоколы безопасности. Иными словами мне нужно просто проставить галочки при регистрации домена и размещении его на чужом сервере.
Удивляют такие комментарии ) Каждый год тысячи студентов и самоучек идут в ИТ, откуда они все это должны узнавать? В универе об этом не рассказывают, свыше такая информация тоже не сваливается. Поэтому почему нет.. Я даже мини-доклад сделал в зарубежной компании, очень талантливым ребятам, и почти всем было интересно ) Последнюю ошибку, о которой я рассказал, допустил владелец компании, который уже на частном самолете летает и миллионы евро зарабатывает, я считаю не нам говорить, что он на галерах работает ) Со всеми случается.
@@ДанилАтюков-ц9удружище 🤔😊, чтобы получать хорошие оценки достаточно не прогуливать школу и воображать себя будущим хацкером, достаточно не грубить людям.
Внимание! Опрос! Конкурс по взлому ) ruclips.net/user/postUgkxxiV75KYeEBtq71TlB_21l2QjOzwJtRZs
Приветствую! Продублирую своё мнение. Лично я за проведение конкурса или челленджа, но на мой взгляд главное не переборщить со сложностью заданий (уровней), так как для некоторых то или иное задание может быть сложным. Помню, когда-то на сайте "античат" были конкурсы по взлому. Если кому интересно, я когда-то делал ЮтубКвест состоящий из нескольких уровней с бонусом в конце - gthu9JVyOVA (ролик на ютубе, описание под видео, полную ссылку не даю, так как тут может быть включена блокировка ссылок), его можно считать как Цикада 3301 лайт :) Если прошёл уровень, оставил коммент, т.е. попал в таблицу рекордов. Первый уровень открыт для всех, все последующие скрыты для тех, кто не прошел предыдущие. Если кто знает подобные конкурсы или есть толковые идеи пишите.
Иван, в разработке более 5 лет, пишу на Java. Для нашего мира такие уязвимости уже даже не закрываются, все идет из коробки. Единственное, что настраиваем, это csrf и cors. Очень качественное видео, освежил базу. Спасибо!
Тогда почему на сайте owasp различные иньекции все еще входят в топ 3 самых частых уязвимостей?
@@gggalahad Потому что там, вероятно, JSP.
@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?
@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?
Это не так, после первого же пентсета вы это поймёте
Искал серебро, нашел золото. Очень интересная тема для обсуждения в данном видео, то, чего мне явно не хватало. Подписался. Благодарю за ваш труд, Иван.
Очень толковое объяснение некоторой небольшой части атак, очень интересно продолжение про LFI/RFI, IDOR, SSRF, и т.д.
при использовании Laravel уже все эти проблемы решены из коробки, давно не актуально, но знать нужно!
спасибо Иван за информацию!
тем не менее никто не запрещает эти уязвимости открыть. Можна тот же CSRF отключить или написать нативный SQL без обработки параметров
Тем не менее есть кучи старых сайтов на старых архитектурах под которые к сожалению есть эксплойты
@@bit_reil нет никаких куч, такие уже давно взломаны и удалены.
Мужик, видео просто фантастика, лучше на просторах интернета на эту тему сейчас просто не найти. Благодарю
Огромная благодарность Вам за труд! Ждём вторую часть!
Иван, отличные наглядные примеры! Спасибо за старания!
Видео топ, базу разобрал 👍 Но было бы интересно продолжение, желательно так же нацеленное на веб по всем остальным уязвимостям, включая более редкие
🔥🔥🔥 Это лучшее, что я видел про атаки в вебе. Спасибо большое за примеры - наглядно стало понятнее, что это и как с этим бороться. 🤝
Начинающий программист, очень круто объясняете Иван!
Превосходный гайд, спасибо за такое подробное объяснение!
Иван, спасибо за подачу и шикарный уровень в профессии 💎🌟
Иван, в сфере форекса уже давно и копаю базы данных различных платформ, очень интересно было вспомнить базу !
Очень полезный ролик! Хотим больше таких)
Ура разжевали тему по нормальному. Давно интересовала эта тема я не мог найти настолько номального обьяснения. Мужик, ты лучший!
Спасибо. Очень интересная информация. Я правда думал, что большинство этих уязвимостей уже лет 10 как не актуальны)
На Джанго с 3 версии все эти неуязвимости из коробки сложно обойти. Но возможно (обходил)
это было давно
Все новое - это хорошо забытое старое ) поэтому периодически нужно все повторять. Как оказывается, даже в рельсе можно кривой код написать и получить все эти уязвимости обратно )
Все актуально
Мега интересно узнать об уязвимостях на сайтах🔥🔥🔥
Да, было дело́, нужен был другу пароль от аккаунта девушки в вк, это так 2009-2010 год был, и прям в форме почты пихал форму, где требовался пароль для подтверждения, и всё что вводилось в поле отправлялся на txt документ на бесплатном хостинге, готово, и да, после ввода пароля, чтобы жертва ничего не заподозрила ее действительно отправляло на сервис с открытками, эх... Какие простые были времена, сейчас сложно представить такие кражи, двухфакторные авторизации, с подтверждением с телефона... Теперь даже html форму не вставить в обычный почтовый клиент 😢... Кстати, друг уже женат на той жертве, наверное ничего плохого не увидел в ее переписке, возможно помог ему с выбором 😂
А вы сейчас до сих пор занимаетесь деятельностью в сфере кибербезопасности?
Да я и ранее этим не занимался, просто было как мимолётное хобби, так сказать любил "пакостить" по малолетству, ddosил бесячие ресурсы в локальной сети, крушил античит и играл с читами, сейчас мне уже почти под сорок лет... О, а ещё пиринговые сети p2p, помните? Ох какие перспективы открывались при расшаривании локального диска "С" 😄 Столько паролей было стырено с сохранялок браузеров
Хорошее видео: все понятно, примеры понятны, спокойно и последовательно объясняете. У вас определенно талант! Подписался, жду еще видео)
Большое спасибо! Очень ценная информация!
Отличное видео! Спасибо! Жду вторую часть
Очень понравилось видео! Хотелось бы еще часть 2 :)
И музыка, между прочим, очень в тему 😊
Хорошее видео,почему у автора так мало подписчиков,лайк в развитие канала
Как же мне повезло, что в предложках попало это видео...Пишу на нейросетях с 0 коммерческий проект без знаний программирования. Я 2 недели убил, чтобы решить проблему настройки CSRF, чуть было не отключил, но в итоге поборол проблему, что фронтенд не мог нормально принять от бэка этот токен. Теперь я знаю, что это значимая защита в проекте))
Спасибо! Ждем вторую часть!
Интересный разбор. Спасибо:)
Огромное спасибо за дословную и интересную подачу !🔥 Продолжайте - хотелось бы видеть ещё больше подобного контента!
Было бы таки ещё интересно узнать - аналогична ли структура взлома мобильных приложений? или "как мобильное приложение может быть взломано ?"
Спасибо! 🎉🎉🎉 Ждем вторую часть)
Автор молодец, просто о важном.
Монтировать так и не научился, поэтому извиняюсь за слишком темное видео :)
Очень жду вторую часть, начиная с CWE top 25)
топ 25 это часов на 10 нужно видео записывать?)
@@ivan.goncharovкаждую по 10
Ничё не понятно - но Очень интересно !!
Отличное видео, спасибо за объяснение
Спасибо! Помогло еще раз освежить эти знания. Это всегда надо помнить. Недавно написала симпатичная азиатка на кривом русском: "Ой, я ваша плохо понимать, а вы мой переводчик? Ой, нет? Ну я устала, я ошиблась. Я из Гонконга. У меня бизнес. Полечу в Россию. Хотите вас в кафе приглашу? Вы такой классный, хочу дружить. Только это у меня рабочий аккаунт. Вот вам мой личный. Добавьте меня в друзья, пожалуйста. И ссылка." Надо было ему сказать: "слыш Вася, кончай комедию ломать. И акцент у тебя галимо получается. Ты лучше скажи, что за тема у тебя? Куда CSRF мутишь?." Но я забанил этого пользователя просто и все. Жаль( Надо было постебаться)))
Спасибо, поднял настроение )
Спасибо, всё очень понятно!
Спасибо за такой подробный разбор
А что за расширение с куками вы используете? Я вижу там много подробной информации, не могли бы поделиться?
EditThisCookie, в Chrome Store можно найти
в 2007 актуально было так ломать сайты..но сейчас это все уже предусмотрено
кем предусмотрено?)
@@ivan.goncharov в любом фреймворке если конечно ты совсем не аутист чтоб делать специально такие грубые ошибки с нефильтрацией или том же ларавел csfr token тоже предусмотрен
@@IstMirWurstпод каждым подобным роликом на русском, очень много комментов что такое щас не работает и тд. При этом почему-то топ компании по типу гугла ежегодно платят миллионы за такие баги в их сервисах. Никто просто баги по типу xss или sql инъекций не тестит тупо втыкая payload, есть 1000 и 1 обход и комбинирование багов
Наконец-то годнота подъехала!
спасибо за тутор
Интересно было посмотреть, лайк. Единственная просьба, плиз, не яваскрипт =)
привычка )
@@ivan.goncharov бывает, первый раз смотрел, так сразу ухо резануло)
Очень полезно, спасибо
Не понял, а как тут SQL инъекция срабатывает при обычном get запросе? На бэке это же должно как то обрабатываться, каким то образом превращаться в реальный SQL запрос... Или это как то связано именно с ruby on rails?
Должно обрабатываться, есть встроенные защиты от инъекции, но если неправильно сформировать запрос (как было показано в видео), то защиты не сработают.
Отличный контент, 👍 спасибо
Если взламывать сайты, писать разработчику, что нашел уязвимость и попросить его вознаграждение небольшое, то это не будет считаться как вымогательство/взлом сайта ?
Я не юрист, но вопрос интересный, спросил ChatGPT:
1. Взлом сайта: Независимо от намерений, несанкционированное проникновение на сайт или компьютерную систему является незаконным в большинстве стран. Это считается преступлением, даже если вы не нанесли вред.
2. Ответственность: Если вы нашли уязвимость без разрешения владельца сайта (например, через программу bug bounty или другую форму сотрудничества), и особенно если вы использовали её для доступа к защищенной информации, это может быть расценено как нарушение закона.
3. Вымогательство: Запрос денег за то, чтобы не раскрывать или не использовать уязвимость, также может квалифицироваться как вымогательство, даже если сумма относительно небольшая.
Спасибо за видео❤❤❤❤
Спасибо
Спасибо большое!
Прошу прощения, может я чего то не знаю. Но разве это уже не давно решенные проблемы на всех современных сайтах? Ну, если упустить из статистики то что было написано лет 10 назад но до сих пор работает и сайты которые делают студенты за 20 долларов.
Судя по комментариям, многим это интересно, значит до сих пор актуально ) Студенты тоже должны откуда-то узнавать эту инфу. Некоторым просто интересно как ломают сайты. Если не узнали ничего нового, то в следующий раз что-то посложнее рассмотрим)
И все эти методы и попытки попадают в тупик, когда на пути встаёт php pdo и фильтры😁
Не работал с PDO, но на первый взгляд похоже на мини-копию рубишного ActiveRecord. А значит есть вероятность накосячить и там ) Вся суть видео - в том, что ошибки совершает программист. Даже если его защищает фреймворк, библиотеки, ангелы хранители, все равно допустить ошибку можно. Допустим вот такой код точно так же уязвим:
$userInput = $_GET['user_input'];
$sql = "SELECT * FROM users WHERE username = '{$userInput}'";
$stmt = $pdo->query($sql);
Я помню в PHP есть еще настройки для экранирования кавычек, но их тоже вроде как-то можно обойти )
@@ivan.goncharov да, но с PDO используют $pdo->prepare($sql); и execute()
А прямые SQL-запросы должны на перепросмотре кода отсекаться
Ну если так подходить, то все ок будет ) на самом деле, везде есть возможности накосячить, и есть возможности добавить больше защиты. Главное - чтобы программист заботился и безопасности. Для этого и видео, как напоминалка о безопасности )
PS проходим опрос в закрепе, )
Хотелось бы про вордпресс ролик,как защитить сайт.Ведь доля сайтов на нем почти 50%
Давно уже есть платины для wp
Спасибо за инфу, скажите а можно отследить взломщика, например по транзакции, номеру карты, ФИО, он же не может быть не видимым.
Если данные фальшивые, или указана карта дропа, то нет.
А Django насколько стойкий ко всему этому? Не в теме, но собираюсь делать на нем сайт
Не подскажу, потому что не видел джанго уже лет 10 )
solidJs ,быстрый как ванилька так что;)
спасибо
Хотелось бы увидеть больше Рельс
Как минимум пара еще будет ) Сейчас про опыт применения тактических шаблонов DDD в Rails готовлю.
Крутой контент!
Вы не поверите
До сих пор очень крупные компании нашей страны не закрыли данные уязвимости
Очень круто! А есть ли где то это приложение на Github? хочу развернуть у себя, пощупать руками
Спасибо, добавил ссылки в описании :)
От XSS помогает защитить CSP и trusted types.
мощный)
чет прорвало с Боба)))
При union based sql injection для подбора можно просто указывать null. Union select null,null,null и тд
Кстати да. Оставьте ваши контакты, мы вам перезвоним )
@@ivan.goncharov зачем😁
@@РоманЕдутов-з2г за горло пожмякать😂
у капитана пара вопросов :)
Кстати нет, там бы не сработали null, они бы поломали код )
Ну а раз тема интересна, то проходим опрос в закрепе, хочу конкурс сделать по взлому )
15 лет назад мне на сайт напихали писюнов
Сейчас даже большие коммерческие проекты хрен кто осиливает )
😂
@@DmytroHaidash было, да, так узнал о xss/sql
Да ладно. Достаточно напихать писюнов в команду разработки без должного контроля, а дальше через какое-то время хакеры и в весь большой проект напихают.
Проходим опрос в закрепе - хочу сделать конкурс по взлому, посмотрим сколько людей наберется )
Привет развитие каналу
Уроки по Си планируете продолжать?
Планирую, но через одно видео. Следующее видео планирую на другую тему.
В Angular такие уязвимости не работают. Всё, что вводит пользователь, отображается как encoded string (<script>) и ничего не выполняется.
🎉
Я не понял CSRF. Откуда хакерский сайт берёт значения для своей формы?
Значения какие именно? user_id?
@@ivan.goncharov я не внимательно посмотрел видео. Я думал вы в action указали хакерский сайт
17:00
Pepper это не соль, pepper это pepper
Разные понятия:)
Ну да, почитал, немного разные штуки, спасибо )
@@ivan.goncharov главное развиваться :)
Давай вторую, шеф, красава!
не только такие уязвимости, например есть CORS, это на раскрытие информации
CORS это не уязвимость, это фича )
@@ivan.goncharov ну фича то понятно, но для хакера это плохо, особенно когда там Access-Control-Allow-Origin: *
а чем Access-Control-Allow-Origin: * плохо для хакера? Вроде наоборот хорошо )
@@ivan.goncharov я хз как обойти это, мб и хорошо
@@ivan.goncharovесли разрешены с кредами любые домены , что часто делают неопытные разработчики когда хотят упростить себе задачу , уже не фича))
Вот поэтому движкам сложно доверять, лучше уж ручками фильтровать и отправлять ошибки в телегу и по счетчику в бан ip.
Про куки тема не раскрыта полностью, как они отрабатывают из скрипта, фрейма и т.п.
Почему подтверждение критической операции по токену нужно завершать, а не по отправке формы.
Можно ли в скрытом сформировать страницу и скрипт нужно сайта, и дергать её из главного потока пытаясь вырвать данные.
много тем не раскрыто )
куку боба 😂
Такой смех с форсом 2fa 😅.
Мне не понятно, зачем сайт ищет скрипт в имени и выполняет этот скрипт. Ну и пусть будет посетитель с именем alert(1), зачем его выполнять?
Браузер ничего не ищет, если он видит html-тег, его обязанность - как-то обработать этот тег. Чтобы браузер обработал alert(1) просто как текст, то в теле html это должно выглядеть как:
А не как . Т.е. знаки больше/меньше должны быть закодированы.
разве это не будет работать только локально?
как этот код вообще попадет и ввполнится другому клиенту на его машине?
Там же браузер получит JS и HTML, который выдаст сайт, а эти инъекции сайт как выдаст, если они по сути локально в вашем браузере?
@@ivan.goncharov
Что-то я не понимаю вопрос. Надо вам найти ролики о том как работает Веб, как работает http-протокол, и как работает браузер. Тогда все встанет на свои места. В идеале почитать книгу Таненбаума "Компьютерные Сети". Шикарная книга, очень хочу сделать ролик по ней когда-нибудь, но не в ближайшем будущем.
SQL инъекции ушли в прошлое, когда в PHP добавили PDO. Я с тех пор никогда их не встречал ни одного запрос без плейсхолдеров уже лет 12. Сейчас это бородатая неактуалочка.
Я несколько лет работал в аутсорсинговой компании, там проекты менялись каждые 2 месяца, иногда и за 2 недели успевали дела поделать. Насмотрелся вообще всякого, особенно там, где индусы код писали, в америке много таких проектов ) Ну и слабо верится, что в PHP-мире все так идеально стало ) Битрикс с его кучей кривых плагинов еще жив, кстати?)
Кстати, лет 5 назад один америкос просил его проект доделать на PHP. Скинул код, а там в КАЖДОМ файле идет подключение к базе данных, в каждом файле конфиг и копи паст кучи функций. Я уверен где-то до сих пор пишут такой код, не говоря уже о допущенных уязвимостях )
Тяжело перенести это на свой язык. Я не делал экранизацию полей HTML потому что не работал с пользовательским вводом, но знаю что это нужная вещь.
Остальное - наверное, не сработает. Если XSS не занесу в базу - все будет ок.
Проходим опрос в закрепе ) Будет возможность попрактиковаться и может перенести на свой язык )
за взлом не посадят, а возьмут на работу
Иван создай пожалуйста телегу свою на всякий случай
Современные сайты разрабатываются на базе каких либо движков или фреймворков , все эти банальные вещи уже лет 15 как неактуальны . разработчику о них даже думать не приходится т.к платформа в себе уже содержит все необходимые меры предосторожности , и не только платформа , на уровне веб.сервера так же многое перекрыто , да и браузер не дурак - в общем столько уровней защиты , что что-то придумать или обойти на таком уровне нереально.
П.С Если программист что-то отключает , то к этому моменту вроде как уже должен понимать что отключает и к чему это приводит.
Я же и показываю в видео, что мне приходится отключать встроенные защиты для демонстрации. Но опять же, это не защищает от плохого кода (все вешать на GET-запросы, или использовать интерполяцию в SQL-запросах). Порог входа в программирование постоянно снижается, а вместе с ним снижается и понимание от чего и как нас защищает фреймворк. Это видео не для тех, кто вырос на PHP, а тех, кто начал с рельсы и никогда не задумывался о безопасности.
К тому же, как я рассказал в видео, баги все еще встречаются ) и довольно серьезные баги (исполнение кода), которые опять же возникают по вине разработчиков. Поэтому все равно видео считаю полезным)
все эти уязвимости не актуальны уже лет так двадцать :D
просто невозможно сделать сайт с этими уязвимостями, разве что прям специально делать их зачем-то.
еще посмеялся, что Перец - это по русски соль :D
Соль и перец - это хоть и похожие штуки, но разные!!! Даже если по какой-то причине не используется OAuth, а вручную хешируется, то будут использованы и соль и перец!
Реально, бородатая фигня! А больше всего улыбнуло, что юзает Last pass. Пару лет назад они всю базу свою продали…
Не знаю что ты имеешь ввиду под и соль и перец просто
sha256(пароль + salt) -> hash
@@qwert9313 так у гугла спроси, там понятное объяснение про шифрование
Это корпоративный аккаунт, компания юзает last pass и доверяет им, мне пофиг ) для них отдельная учетка в хроме. Свои пароли в облаках не храню )
Про соль уже тут в комментах разобрались, не знал разницу, всегда думал это тонкости перевода ) бывает. Про бородатость ок, не спорю, но все равно все актуально )
Вступление срок не светит если что , а максимум админка 😃
А что я там такого сказал? (или не сказал?) :)
@@ivan.goncharov я имел ввиду за взлом сайта и тому подобное если канешно это не Американские и Эвро- ресурсы
А эти уязвимости реально до сих пор работают? Я думал уже давно все разрабы это все перекрывают
Как было показано в видео, любая из них еще может присутствовать. Видео было записано для новичков, которые и могут допускать ошибки, потому что ни один курс по программированию об этом не рассказывает.
@@ivan.goncharov Да это не претензия) Просто у меня например, на моем языке программирования, та же SQL-injection отсекается библиотекой из коробки, то же самое и с CSRF. Я уже давно не думаю над данными проблемами ибо знаю что при использовании общепринятой библиотеки, которая в любом случае будет, эти проблемы уйдут. И я реально думал что примерно то же самое происходит и на других языках
@@aks964 я понимаю, что не претензия, просто пытаюсь донести, что библиотеки защищают, но ими нужно правильно пользоваться ) Rails один из первых фреймворков, где появилась красивая ORM со всеми возможными защитами. Но до сих пор люди неправильно формируют запрос, особенно часто это происходит в LIKE запросе, пишут where("name ILIKE '%#{params[:query]}'") - и тут защита уже не сработает. 200% в вашем языке то же самое )
@@ivan.goncharov Я пишу на java с spring data и spring security. При авторизации spring security делает строго свои запросы, и подобные вещи он отсечет 200 процентов) При работе с бд "руками" идет генерация запросов через hibernate или сам спринг и оно аналогично это все переэкронирует и ты тоже в эту уязыимость не впоришься. Впороться в данную уязвимость в тории если прям сильно захотеть то можно, но это нужно сильно постараться, так же как, например, сделать утечку памяти. ps "руками" пишу тоже запросы крайне редко, обычно делаешь метод в интерфейсе и по названию данного метода оно просто загенерирует запросы. Я уже забыл когда запросы писал руками (в приложении, так то в бд хожу частенько чтобы посмотреть чтото) на самом деле
Ну для рельсы тоже есть куча гемов, которые проверяют безопасность кода по многим параметрам, но опять же, не все их используют )
P.S. проходим опрос в закрепе )
Все это прекрасно, но по моему уже устарело лет на 5 точно, хотя если на вордпрессе собирать или руби то возможно актуалльно 😊
Все может быть ) Но топ уязвимостей за прошлые годы говорит об обратном )
@@ivan.goncharov в этот год из каждого утюга говорят что нейро сетью можно создавать сайты, как там с уязвимость в топ не зашло? :)
SQL-injection что взламывать то, старая же, уже защита стоит
Стоит защита, но бывает программисты ее обходят ) Особенно часто я видел это когда формируют запрос поиска через ILIKE: where("name ILIKE '%#{params[:query]}'")
Бесплатный Стилер с билдом читов для кс 1.6, залитый на ргхост, с оставленными комментариями по типу:» все, скачал, брат жив, только антивирус отключить нужно» как только экзешный файл открывался - сразу же удалялся, а все логины и пароли приходили на почту лол, во время было то
Вообще не понимаю прикола с оплатой и различных манипуляций с ней. У меня к сайту прикручена оплата картой от банка, в котором открыт расчетный счет. Вся эта часть работает на стороне банка. Все, что требуется от меня это чтобы сайт поддерживал все необходимые протоколы безопасности. Иными словами мне нужно просто проставить галочки при регистрации домена и размещении его на чужом сервере.
Ну пример с оплатой это просто для наглядности. На самом деле это может быть любой важный экшн
Иван на протяжении 33 минут делает вид что он не хакер))
Информация предоставлена в образовательных целях )
Ещё кто-то сидит на руби?
И даже не собирается уходить )
Фильтры ставить…
"Делаем просто вот так" - после этих слов я понял, что человек не понимает как защищать сервисы от уязвимостей) Мдам-с.
Все так, не умею )
в каких галерах люди вообще работают если такие простые ошибки допускают...
Удивляют такие комментарии ) Каждый год тысячи студентов и самоучек идут в ИТ, откуда они все это должны узнавать? В универе об этом не рассказывают, свыше такая информация тоже не сваливается. Поэтому почему нет.. Я даже мини-доклад сделал в зарубежной компании, очень талантливым ребятам, и почти всем было интересно ) Последнюю ошибку, о которой я рассказал, допустил владелец компании, который уже на частном самолете летает и миллионы евро зарабатывает, я считаю не нам говорить, что он на галерах работает ) Со всеми случается.
@@ivan.goncharov я к тому, есть миллионы случаев, почему их не документируют и сжато пишут книги? Книги в которых есть суть а не воду на 1000 страниц
Книгу довольно тяжело выпустить, гораздо легче статью в блоге написать или ролик записать )
Проходим опрос в закрепе, люди с галер хотят конкурс простенький сделать )
это кто нынче сразу из ответа с сайта оптравляет в запрос? а по оплате так совсем смех.
Надо же примеры какие-то приводить. А там уже пусть люди примеряют на свой функционал, что нужно защищать, а что нет
Сори за хейт, но хэшИ это не правильно, правильно ударение на э хЭши. Прям бесит.
Ни разу не слышал такого произношения, буду знать ) А вот пишется это слово хЕш. Через е )
кЕши, Хэжи, жижи, шиши, жиши, пжижи ХЭЭЖИИИИИ!!!!
М
не получилось никого взломать, обман
Я и не обещал )
@@ivan.goncharov лучше бы показал, как электронный дневник взломать и оценки исправить. А не этот пердёж в холостую
@@ДанилАтюков-ц9у тебе это никак уже не поможет
@@ivan.goncharov а че ты на личности переходишь?
@@ДанилАтюков-ц9удружище 🤔😊, чтобы получать хорошие оценки достаточно не прогуливать школу и воображать себя будущим хацкером, достаточно не грубить людям.
автор все смешал в кучу, типичное поведение человека не имеющего опыта в программировании.
Ява скрипт
Что?
гей скрипт
Яна Чиле на раслабоне
Яна вай бе, Яна орфеева, Яна Чиле а ты???