PHP-IDS?

PHP-IDS ose php intrusion detection system eshte nje sistem mbrojtjeje i cili lufton sot per “luften” e luftimit xD te xss-ve, sql injeksioneve, rfi, lfi, remote code execution etj etj..
Dhe per kete ka zhvilluar edhe nje aplikacion shume te mire qe mund ta testoni ketu..

http://demo.php-ids.org/

Eee, i bukur apo jo :)
Ehh, po sikur tju thoja qe koduesit e ketij programi te mrekullueshem nuk dijne as navigacionin e direktorive ne php do me besonit?
KURRE
AHAHAHA
mire ti hedhim nje sy projektit online..
http://wpids.googlecode.com/svn/trunk/
————————————–
Tani te fillojm te shfletojm pak tek htmlpurifier/HTMLPurifier/
HApni failin e pare qe shikoni, lol AttrCollections.php qe ne rreshtin e dyte eshte bug-u i pare

require_once 'HTMLPurifier/AttrTypes.php';

LoL, e para nese kerkojm failin AttrTypes.php do e gjejm ne te njejten direktori..
Pra mjafton ky kod   require_once 'AttrTypes.php';

Dhe funksioni require_once sistemohet apo jo?
Po atehere ç’fare kane dashur te thone autoret me ate HTMLPurifier? Nje ZOT e merr vesh.
Per ta pasur akoma me te qarte shikojm:
AttrTypes.php 😀
—————————————————-

require_once 'HTMLPurifier/AttrDef/Lang.php';
require_once 'HTMLPurifier/AttrDef/Enum.php';
require_once 'HTMLPurifier/AttrDef/HTML/Bool.php';
require_once 'HTMLPurifier/AttrDef/HTML/ID.php';
require_once 'HTMLPurifier/AttrDef/HTML/Length.php';
require_once 'HTMLPurifier/AttrDef/HTML/MultiLength.php';
require_once 'HTMLPurifier/AttrDef/HTML/Nmtokens.php';
require_once 'HTMLPurifier/AttrDef/HTML/Pixels.php';
require_once 'HTMLPurifier/AttrDef/HTML/Color.php';
require_once 'HTMLPurifier/AttrDef/Integer.php';
require_once 'HTMLPurifier/AttrDef/Text.php';
------------------------------------------------------
LOL

Pra ata praktikisht te thone hy tek HTMLPurifier pastaj tek AttrDef pastaj tek…
Nderkohe qe ajo direktori nuk egziston por eshte folderi meme ne kete rast.
Ja nje shembull
Folderat po i rendis shkronja te medha, nenfolderat me te vogla, failet me numra atehere kemi:
A
a   1, 2
B
b   3, 4, 5

Atehere gjendemi tek faili 4 qe eshte ne folderin b, si do perfshijm nje imazh i qe eshte tek folderi B?
jaaaaa
../i.jpg
Dhe jo
B/i.jpg siç e zgjedhin ekspertet e PHP-IDS xD
Tani per ta mbyllur le te bejm nje test te vogel te sigurise se tyre..
Vertet jane mbrojtur mire sidomos nga XSS-t duke perdorur edhe encodimin ne kete menyre shmangin perdorimin e dekodimeve te url-ve per qellime te keqia..
😉
http://demo.php-ids.org/
Dhe fusni
1 EXEC SP_ (or EXEC XP_)
Shikoni nese do ua kapi xD. Ai kod eshte baza e blind sql injection.
Te gjitha buget me siper i gjeta duke edituar kodet e wpids ku nuk mbaronin gabimet.

Damn!!