19/12/2006 16:24:50
T4uSBaZ
אני רוצה לאבטח את האתר PHP שלי ( עם mysql ), באופן הכי מאובטח שיכול להיות.
בינתיים עלו בדעתי : XSS - חסימה על ידי htmpspecialchars , Sql Injection - חסימה על ידי mysql_escape_string (למרות שברגע שאני עושה htmlspecialchars הגרש & הגרשיים מקודדות גם, ולכן לא יהיה SQL INJ גם אם אני לא ישתמש בסינון שם. אני צודק? (שימו לב שזה במקרה של טופס POST ולא דרך GET .)
Sql Injection through get - לגבי הזרקות בGET לדוגמא וזה מספר, זאת אמרת index.php?page=5 אז הפרמטר page רק נבדק שהוא מספר, וכך אם הוא מספר ברור שאין הזרקה כי אי אפשר להזריק בלי סימנים אחרים חוץ ממספרים. נכון?
הצפות ורובוטים - יש לי מערכת תגובות, לכן שמתי תמונה דינאמית כדי למנוע הצפות.
logs - יש לי תיעוד של כל תגובה, וכל התחברות לממשק ניהול או ניסיון להתחברות.
קבלת טפסים רק מהשרת - לדוגמא ויש פאנל ניהול של כל משתמש (כמו בפורום הזה) ואפשר לעדכן נתונים. אז אפשר לשים טופס "סיסמא" לכל עידכון, בכדי לאמת שאכן המשתמש מעדכן ולא האקר. אך זה יכול להיות מאוד מעצבן, ולכן עלה בדעתי פשוט לבדוק האם הטופס (בין אם הוא get או post ) הגיע מהאייפי של השרת, או מאייפי אחר.
יש לכם רעיונות אחרים? חשבו שיש לי באתר הכל, כל סוג של אבטחה יתאים לי.
תודה רבה ויום טוב
19/12/2006 19:03:21
HLL
תעלה אותו נפרוץ ואז נגיד לך מה לתקן P:
20/12/2006 02:58:34
aviv1233
פי יאללה קרעת אותי העלק נעלה ונפרוץ.. חחחחחחחחחחחחח.. טוב עכשיו לעיניין דבר ראשון תבדוק חורי אבטחה של xss יש תוכנה שסורקת תחפש אין לי כרגע לינק ויש גם מלא מודים של אבטחה וכו תחפש ב ildev.com או בסיסטם גלוב
20/12/2006 15:13:53
devil kide
אביב, איפה הקטע המצחיק?
20/12/2006 22:28:03
aviv1233
עזוב אולי אתה לא הבנתה אבל בטח אחרים הבינו
20/12/2006 22:31:38
devil kide
אולי תסביר?
22/12/2006 17:38:45
Acid-Burn
דביל עזוב זה באמת לא היה מצחיק אל תנסה אבל לא חשוב ...
ושמע אחי אתה מבקש עזרה באבטחת אתר שאנחנו לא רואים...
כמו שאמר הנ"ל תעלה אותו לרשת נפרות אותו נסרוק אותו ונחשוב על דרכים להגן....זאת הדרך היחידה לאבטח אתר....לנסות כל דרך לפרוץ עילו ואז לחסום את מה שמגלים...
22/12/2006 19:29:00
T4uSBaZ
התכוונתי לפרוייקט שפת C שלי. cproject.awardspace.com
23/12/2006 17:27:53
tal
ציטוט:פי יאללה קרעת אותי העלק נעלה ונפרוץ.. חחחחחחחחחחחחח.. טוב עכשיו לעיניין דבר ראשון תבדוק חורי אבטחה של xss יש תוכנה שסורקת תחפש אין לי כרגע לינק ויש גם מלא מודים של אבטחה וכו תחפש ב ildev.com או בסיסטם גלוב
אני גם לא מבין מה היה מצחיק, הדרך הכי טובה ללמוד זה להציג תוצרים שלך.. בין אם זה להראות את הקוד או בין אם זה לבקש מאנשים לנסות למצוא פירצות אבטחה באפליקציה שלך ולהצביע עליהן.. הדרך שHLL הציע מבורכת.
מעבר לזה, בשביל מה אתה צריך תוכנה ? זה אולי אחרכך ל- pen testing.. הוא מדבר עוד בשלב הפיתוח.
24/12/2006 13:59:46
Joi
תראה, בשלב הבניה הכי חשוב ושוב הכי חשוב זה סדר!
סדר = אבטחה! למה? כי ברגע שבונים משהו מסודר, עפ"י תכנון קודם ועל פי דרך עבודה מסויימת(שבה צריך לדון מבחינת האבטחה) התוצאה היא הרבה יותר יסודית ומקיפה. לכן, לדעתי שב עם עצמך, כתוב לעצמך את דרך עבודה או שתקרא לזה איך שתקרא לזה, נהלי קלט וכו’. בכ"א לגבי בעיות אבטחה שעלול לצוץ יש לך את גוגל(מצטער על העצלנות במקום הפירוט). שיהיה בהצלחה. נ.ב הלל, טל, מה קורה? שנים לא שמעתי מכם. Zen[o]r.
28/01/2007 02:08:14
snap7
אם אני לא טועה אחי php אפשר להריץ גם ג’ווה סקריפט אז תיבדוק את זה....וכמובן
תקבצים שלא יהיו פגומים...זה בכללי :)
30/01/2007 19:08:03
T4uSBaZ
אוקייי זה הקפצה של חודש ו4 ימים O.o וההרצת ג’אווה סרקיפט זה Xss - וההגנה היא סינון תווי HTML ו JS וכו’..
30/01/2007 20:28:43
snap7
סבבה אחי אני ניכנס לאתר וראיתי התרשמתי מאוד מהידע שלך אחי אלווי עליי לדעת ככה
