hackovani ve zpravach :]

vcera bylo na ct1 zprava o nabourani do micr.cz / ministerstvo informatiky... Co sem v tom sotu zahlid, tak nekdo tam do vyhledavani neco daval :]. Nevite nekdo o tom neco vic ????

Mno ya bych rek, ze se tam predavaj negde promneny nak hoodne chytre, treba pomoci evalu a to je pak jednoduchy, prostuduj si tenhle znak (doufam, ze sem se nesek): `

to znamena ze ten vyhledavaci box vlastne nebyl osetren na znanky < > ;]]] a to je asi zasadni co ?

Ne, to ne, proste si tam zadal neco a ono to pag server ulozil do databaze aby usetril misto k tvy session jako prirazeni (napr.: "$user='negdo';$time='1234567890';$actualpage='index.php';" v databazi treba test tabulka treba sessions a sloupec data) a pak cely tohle proste precet do naky promenny ($data) a potom jednoduse dal "eval($data);" a do promenny $user se priradilo negdo, atd... Ale gdyz si dal nekam treba do username znak ` tag se to provadelo jinak a moch si zadavat prikazzy serveru.... Potom uz stacilo zmenit moc indexu na 0777 a zapsat do nej neco jako "#4CK3D 8Y T#3 R00T".... Nag tag to ye, nepamatuju si to presne, ale proste se nevyplaci pouzivat eval, protoze je deravej, estli to chces vedet presne, tag si s tim pohraj...