Backdoors

[hookersncocaine]

Zdravím, viete mi poradiť, čo robiť proti backdoorom na stránke?

[flowem]

No, tak třeba je odstranit?

[hookersncocaine]

No, tak třeba je odstranit?

Hehej Šikula. A nepoznáte nejaký program lacný/free, čo by mi s tým pomohol? Alebo niekoho služby? Ja som pozeral niečo na internete a stálo to asi 60 dolárov.. Za takú pálku sa mi to neoplatí.

EDIT: Jediné, čo som našiel ja normálne tak bola služba acunetix na ktorej som pustil scan a stále ešte scanuje, ale ako to potom odstránim neviem. Či tam maju nejaký mechanizmus na odstranenie (čož pochybuje). Ale možno keby som to ukázal niekomu skusenejšiemu ten výpis tak by vedel poradiť si myslím.

[LuCaCZ]

To jsou tvoje stránky nebo něčí? Jede ten web na nějakém redakčním systému nebo je někdo dělal a jsou "na klíč"?

[hookersncocaine]

To jsou tvoje stránky nebo něčí? Jede ten web na nějakém redakčním systému nebo je někdo dělal a jsou "na klíč"?

Ospravedlnujem sa za tú nepresnosť a stručnosť mojich vyjadrení, už som napísal presnejšiu verziu na iné fórum tak vám ju sem hodím. Dôvod prečo sa púšťam do takýchto vecí, keď viem len základy HTML, CSS, JS je ten, že ma nebavia tutoriály z ktorých nič nevzniká a neviem sa dokopať k tomu ich sledovať a učiť sa ich. Preto radšej zoberiem už niekoho vytvorený skript a učím sa upravovaním toho a má to svoju výhodu, kedže sa rovno učím pracovať s webhostingom, vps atď. Ale späť k problému:

Kód nieje môj. Od ľudí som sa dozvedel, že je možné, že sú tam backdoory, pretože majitel mal z toho veľký biznis. Jedná sa totižto v podstate o hru na webe. Ja čo som si čítal na internete o sql injection / backdooroch tak vraj stačí, keď do kolonky, kde má človek napísať nejakú hodnotu napríklad virtualnu menu pripíše časť kódu ktorou ten pôvodný kód využije k svojmu prospechu. Napríklad jeden chalan hovorí o tom ako mu v podobnom scripte človek robil toto: bets 1e+1 over socketio over the console i think and the script thinks that its a bet of 101010 i need help. but he only pays 30 coins.

O takéto backdoory a bugy sa mi jedná. Nie priamo o nejaké vírusy v stránke. Ďakujem za odpovede.

[someoneFromSomewhere]

No tak zrovna proti SQL Injection útokům se dá bránit docela jednodušše (jedno hledání v Google a máš řešení) a zranitelnost se dá vyčíst přímo z kódu.

Jedná se o to, že za normální hodnotu vkládáš i příkaz pro SQL. A pokud se ten vstup neupravuje, tak máš zaděláno na problém, protože pak se může stát něco takového:

Předpoklad dotazu vypadá nějak stručně takto:

Kód: Vybrat vše

SELECT * FROM ? WHERE ? = 'vstup';

a ty místo normálního vstupu napíšeš tohle:

Kód: Vybrat vše

vstup' or 'neco'='neco

tzn. ten výraz bude vždycky pravda.

Taky můžeš tímhle stylem:

Kód: Vybrat vše

vstup'; NEJAKY_PRIKAZ; --

[faraon]

Sledovat bezpečnostní fóra a magazíny, nebo aspoň specializované sběrače, jako je třeba tenhle: https://www.michalspacek.cz/treti-cislo-newsletteru-2017-21-tyden
K tomu všechno pravidelně a neprodleně aktualizovat, záplatovat, a opravovat svoje chyby.
Stačí tomu věnovat tak dvaatřicet hodině denně, osm dní v týdnu, a čtyřiašedesát týdnů do roka, aby ses udržel maximálně měsíc pozadu