Злом і захист чатів.
Багато адміністратори чатів забувають перевіряти свої творіння на "вошивість". У даній статті будуть розглянуті основні методи злому, до яких вдаються нудьгуючі користувачі з драйвером hands.sys (2.0 or compatible).
1. Першою і найголовнішою помилкою є дозвіл користувачеві вводити метасимволу. Припустимо, у вас сервер під керуванням Unix-like системи. Метасимволи Unix-shell: ; "\ *?<>`^<> і т.д. Адміністратору слід поставити в скриптах зміна символів на HTML-варіант. Наприклад, символ "<" в HTML выглядит как "<", """ как """ и т.д. Убирание скобок <и> корисно двома речами: а) невозожно вставки тегів і б) як наслідок, неможливість виконання функцій system, exec і т.д. Слід зауважити, що автозаміну треба проводити не тільки в поле введення повідомлень, а й при введенні імені, пароля, кольору і т.д. Наприклад, зломщик може написати "", що потрібно показувати саме так, а не як "хакер" першим заголовком.
Інший приклад: вибір кольору. Припустимо, ви дозволяєте в своєму чаті вибір кольорів. Зломщик замінює в файлі
Ось основні запобіжні заходи, які повинні зробити адміністратори.
P.S. Для тих, хто з бронепоїзда: від захисту до атаки один крок: о).
Сьогодні Ми розберемо злом чатів, що використовують динамічну систему. Це, як правило, чати з системою приватов (від Private). Тобто кожному користувачеві надсилається свої унікальні повідомлення. У Вашої голівці з'явилася думка: А чому це хтось спілкується в чаті, а я нічого не бачу? "Гласність в маси! Геть цензуру! Бей буржуїв!". Ось про це і піде мова нижче.