Cgi-сканеры. Что это такое? Как они устроены? Как они работают? Как от них защитится? Что такое anti-IDS? Вот на такие вопросы я и хотел бы ответить с помощью этой статьи. Ну что готовы? Поехали...

У нас в форуме (http://rst.void.ru) проскочила тема что мол нам надо бы описать все дефейсы которые мы сделали, как Вы сами понимаете сделать это нереально, но вот некоторые описать вполне возможно. Данная статья и представляет собой step-by-step описание "дефейса" сайта su******ed.ru. Почему слово дефейс в скобках? - спросите вы. Отвечаю. Дефейс есть замена главной страницы сайта на свою, я же не буду (вы не ослышались, не буду) менять индекс, я сменю файл robots.txt. Почему? Ок. Все по порядку.
   Замечание: сейчас 12.11.2003 01:41 дефейса еще нету, то есть перед вами онлайн (если можно так выразится) описание взлома. Конечно я буквально 10 минут назад проверил возможность взлома (это не заняло много времени) и сейчас просто проделаю алгоритм который уже есть в голове, путь уже сформирован, осталось только воплотить =)

На различных сайтах посвященных безопасности часто пролетают сообщения о нахождении уязвимостей внедрения SQL кода в различных скриптах, форумах, движках и прочем. По-видимому данная проблема становится все более и более актуальна, администраторы вовремя обновляют ПО на своих сайтах, авторы скриптов не пишут скриптов с бажным инклудом, но когда встречается скрипт работающий с базой данных то ошибки программирования, точнее сказать ошибки при запросах к базе, так и лезут в глаза. В данной статье я хотел бы описать наиболе частые ошибки приводящие к внедрению своего кода в запросы к базе, рассмотреть примеры эксплоитинга данных баг для получения нужной нам инфы из базы… ну и посмотрим что из этого всего получится =)
Примеры будут приводится на пхп т.к. имхо это наиболее удобный язык для работы с БД, в качестве базы данных использоваться будет mysql версии 4.0.12, хотя мельком думаю затронем и MS SQL. Для понимания атак данного класса вам естественно необходимо знать структуру языка SQL. Ну чтож этим мы для начала и займемся.

Однажды, одна знакомая мистера "Х", назовем ее "мадам Грицацуева", пожаловалась на админа одной крупной организации, что мол вредный очень,постояннно придирается... и вообще плохой человек. Вобщем ее просьба сводилась к тому, что мол неплохо бы было хорошенько его проучить.