WWW hacking a obrana / 3. časť

Remote File Inclusion/PHP Injection PHP je dnes najpoužívanejší skriptovací jazyk pracujúci na strane servera, určený na tvorbu dynamických internetových stránok. Bežný návštevník webovej stránky ho prakticky vôbec nevníma napriek tomu, že je aspoň čiastočne zakomponovaný v takmer všetkých funkciách webovej stránky - od fulltextového vyhľadávania až po tie najdynamickejšie prvky. Pre hackerov sú dnešné dynamické stránky využívajúce moderné technológie vrátane PHP vítaný cieľ. Dynamické prvky totiž prinášajú zároveň veľký problém - server bude získavať, spracúvať a vyhodnocovať dáta, ktoré pochádzajú od klienta, teda návštevníka stránky. V prípade, že programátor chybne navrhne kód ošetrujúci vstup od používateľa, hacker môže bez väčších problémov spustiť na serveri vlastný kód. V nasledujúcej ukážke je predstavený útok typu PHP Injection, ktorý spadá pod útoky typu Remote File Inclusion. Zdrojový kód zraniteľnej webovej stránky (index.php):
Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU

Prihlásiť pomocou členstva NEXTECH