(APORTE)SCRIPT PARA PROTEGER WEB MU que no tienen anti-injection

Tema en 'Servidores de Mu Online' iniciado por Jhonny2011, 21 Sep 2009.

  1. Jho

    Jhonny2011
    Expand Collapse
    Recluta

    Mensajes:
    14
    Me Gusta recibidos:
    0
    Aqui les dejo un pequeño aporte que queria compartirlo con ustedes, hiba hacer una guia para proteger server pero ya hay una asi que nada mas les pondre el link del archivo y tendran que hacer unas modificaciones en su pagina web para evitar las inyecciones al sql.
    vamos a
    config.php agregamos al principio de este archivo lo que esta copiado dentro del block de notas que subi.
    Enlace Removido
    guardamos el archivo.

    Página ya esta protegida un 90% contra estas Inyecciones.

    Además, creara un archivo de texto llamado [WEB]SQL_Injection.txt cada vez que se intenten editar, lo abren y verán lo que intentaron hacer, si editarse, borrar los personajes del servidor entre otras cosas.

    Ahora vamos a segurar el servidor WEB.

    1. Vamos al archivo de configuración del mismo, en Appserv (Apache), es el archivo php.ini y se ingresa por Inicio > Ejecutar > c:/windows/php.ini, o si tienen XAMPP (Apache) en c:/xampp/php (o xampplite si es otra versión) y abren el archivo php.ini (en algunas versiones figura con php5.ini)

    2. Una vez en el archivo, buscamos las siguientes lineas una por una y las modificamos.
    aqui esta el link del block de notas para poder buscar y modificar las lineas correspondientes:
    Enlace Removido

    Al terminar, guardan el archivo, y reinician su Apache.

    Si tienen Appserv lo hacen mediante Inicio > Todos los programas > Appserv > Control Server by Service > Apache Restart.

    Si tienen XAMPP recomiendo hacerlo mediante el control panel, ingresan a C:/xampp (o xampplite para otras versiones) y abren el ejecutable xampp_panel.exe (o xampp_controlpanel.exe), si su servicio ya esta iniciado veran "Running" y tendran solo disponible la opción de Stop, presionan el mismo y luego Start de nuevo.

    Su página ya esta protegida al 100% de inyecciones SQL.

    Ustedes tienen que estar siempre atentos "100%" es por los Lammers, si llega un verdadero HACKER y sabe lo que hace, podria dañarte y llegar a malograr el servidor. Pero si son solamente lammers, no va a pasar nada,
    ya que estos hacen uso de vulnerabilidades que tienen nuestras páginas.

    lista de inyecciones al sql:

    ABORT -- abort the current transaction
    ALTER DATABASE -- change a database
    ALTER GROUP -- add users to a group or remove users from a group
    ALTER TABLE -- change the definition of a table
    ALTER TRIGGER -- change the definition of a trigger
    ALTER USER -- change a database user account
    ANALYZE -- collect statistics about a database
    BEGIN -- start a transaction block
    CHECKPOINT -- force a transaction log checkpoint
    CLOSE -- close a cursor
    CLUSTER -- cluster a table according to an index
    COMMENT -- define or change the comment of an object
    COMMIT -- commit the current transaction
    COPY -- copy data between files and tables
    CREATE AGGREGATE -- define a new aggregate function
    CREATE CAST -- define a user-defined cast
    CREATE CONSTRAINT TRIGGER -- define a new constraint trigger
    CREATE CONVERSION -- define a user-defined conversion
    CREATE DATABASE -- create a new database
    CREATE DOMAIN -- define a new domain
    CREATE FUNCTION -- define a new function
    CREATE GROUP -- define a new user group
    CREATE INDEX -- define a new index
    CREATE LANGUAGE -- define a new procedural language
    CREATE OPERATOR -- define a new operator
    CREATE OPERATOR CLASS -- define a new operator class for indexes
    CREATE RULE -- define a new rewrite rule
    CREATE SCHEMA -- define a new schema
    CREATE SEQUENCE -- define a new sequence generator
    CREATE TABLE -- define a new table
    CREATE TABLE AS -- create a new table from the results of a query
    CREATE TRIGGER -- define a new trigger
    CREATE TYPE -- define a new data type
    CREATE USER -- define a new database user account
    CREATE VIEW -- define a new view
    DEALLOCATE -- remove a prepared query
    DECLARE -- define a cursor
    DELETE -- delete rows of a table
    DROP AGGREGATE -- remove a user-defined aggregate function
    DROP CAST -- remove a user-defined cast
    DROP CONVERSION -- remove a user-defined conversion
    DROP DATABASE -- remove a database
    DROP DOMAIN -- remove a user-defined domain
    DROP FUNCTION -- remove a user-defined function
    DROP GROUP -- remove a user group
    DROP INDEX -- remove an index
    DROP LANGUAGE -- remove a user-defined procedural language
    DROP OPERATOR -- remove a user-defined operator
    DROP OPERATOR CLASS -- remove a user-defined operator class
    DROP RULE -- remove a rewrite rule
    DROP SCHEMA -- remove a schema
    DROP SEQUENCE -- remove a sequence
    DROP TABLE -- remove a table
    DROP TRIGGER -- remove a trigger
    DROP TYPE -- remove a user-defined data type
    DROP USER -- remove a database user account
    DROP VIEW -- remove a view
    END -- commit the current transaction
    EXECUTE -- execute a prepared query
    EXPLAIN -- show the execution plan of a statement
    FETCH -- retrieve rows from a table using a cursor
    GRANT -- define access privileges
    INSERT -- create new rows in a table
    LISTEN -- listen for a notification
    LOAD -- load or reload a shared library file
    LOCK -- explicitly lock a table
    MOVE -- position a cursor on a specified row of a table
    NOTIFY -- generate a notification
    PREPARE -- create a prepared query
    REINDEX -- rebuild corrupted indexes
    RESET -- restore the value of a run-time parameter to a default value
    REVOKE -- remove access privileges
    ROLLBACK -- abort the current transaction
    SELECT -- retrieve rows from a table or view
    SELECT INTO -- create a new table from the results of a query
    SET -- change a run-time parameter
    SET CONSTRAINTS -- set the constraint mode of the current transaction
    SET SESSION AUTHORIZATION -- set the session user identifier and the current user identifier of the current session
    SET TRANSACTION -- set the characteristics of the current transaction
    SHOW -- show the value of a run-time parameter
    START TRANSACTION -- start a transaction block
    TRUNCATE -- empty a table
    UNLISTEN -- stop listening for a notification
    UPDATE -- update rows of a table
    VACUUM -- garbage-collect and optionally analyze a database

    con esto, los lammers se creen hackers y empiezan a borrar o alterar cosas a su gusto. Tambien existe un pequeña y molestosa inyeccion que es apagar el sql ('';shutdown;--). La mayoria de veces las inyecciones son puestas en el registro o en la recuperacion de clave, en la casilla del email.:adios: Espero que les sirva esta mini guia y buena explicacion de estas inyecciones que se puede evitar con esto XD!
    otra cosa que se me escapaba para evitar editados por el area adm tienes que borrar la carpeta administrator para evitar conste! XD
     
    #1 Jhonny2011, 21 Sep 2009
    Última modificación por un moderador: 1 Dic 2013
  2. her

    herleinss
    Expand Collapse
    Recluta

    Mensajes:
    0
    Me Gusta recibidos:
    0
    Ta roto el enlace de descarga saludos
     

Compartir esta página