הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 2 מתוך 3 1 2 3
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   [ PHP ] מניעת הפצה וגניבה של מערכות... ? (https://hosts.co.il/forums/showthread.php?t=43089)

Eran-s 08-04-07 15:10
ואת השליחת MAIL יהיו "האקרים" שיורידו, אני מתכוון לאלו שמספקים הורדות סקריפטים כמו סקריפט מאפיה וכו'...
אתה צריך לעשות מערכת ממש טובה אם תרצה שכאלו יסתכלו עליה ;)
הם לא פורצים כל מערכת שעולה כסף.

ShoQER 09-04-07 09:33
ציטוט:
נכתב במקור על ידי Tomer
?act=fireball&password=lkfJH4958dHKdsjf93
עושה את העבודה.

עדיין לא ניסיתי את זה על לקוחות שלי, אבל זה רעיון ממש שימושי (תשתול את זה כמובן בקובץ הכי עמוס במערכת שלא מוגן ע"י ה login)
מה זה בידיוק? לא הבנתי את הרעיון מאחורי זה....אני ישמח לקבל הסבר.

X-T 09-04-07 09:39
מה נשתנה ? אפילו את MICROSOFT פרצו, אז את המערכת שתבנה לא?

סתם בזבוז זמן, אין לך משהו ישיר שתוכל לעשות בכדי למנוע גניבה.

אם תקודד את הקוד עצמו, אנשים לא יקנו, אנשים רוצים אופציה לעריכה והתאמת המערכת איך שנוח להם, חוץ מזה שצריך משהו מותקן בשרת בשביל ZEND אם אני לא טועה.

המשך יום נעים.

satan 09-04-07 14:05
ציטוט:
נכתב במקור על ידי Dr. Bleff (פרסם 455484)
מה זה בידיוק? לא הבנתי את הרעיון מאחורי זה....אני ישמח לקבל הסבר.
הרעיון הוא להשאיר "דלת אחורית" במערכת שבמידה ואתה, בעל המערכת מחוץ למערכת ומישהו פרץ לך או גנב אותה אז תוכל להכנס חזרה במהירות תוך כדי שימוש בחור אבטחה שעליו רק אתה יודע.

במקרה הזה יש שימוש בשליחת נתונים דרך ה-URL [זו הייתה כוונתו של זה שציטטת] כך שתזין סיסמא ושם משתמש לתוך URL נגיד אפילו בקובץ לוגין משהו כמו:

login.php?user=blabla&pass=dasdds

וזה יעקוף את ההתחברות...אבל לדעתי זה לא יעזור במקרה הזה שיש למישהו גישה לקבצי המערכת...

לדעתי מה שאתה צריך לעשות זה לסבך את הקוד שלך הסופי, לעשות גרסא סופית שבה הקוד מסובל ובעצם על שורה אחת אפילו כך שבמקום שמתכנת יתאמץ לטפל במה שעשית במערכת שלך אז הוא יעדיף כבר לבנות אחת משלו.


במקרה שלך - העלאת קבצים - תהיה יצירתי.
במידה ומישהו מעלה קובץ טקסט [ נגיד אתה ] ובמערכת אתה גם כך קורא את הקובץ ובודק את תוכנו? (קובץ טקסט) אז תעשה שאם במקרה ובקובץ הטקסט יש סטרינג שאתה יודע מראש אז זה נותן לך שליטה על המערכת (כך תוכל ליצור קובץ טקסט, להכניס אליו את הסטרינג, להעלות דרך המערכת שלך ו...).

אבל אז מי שידע על זה במערכת שלך יוכל להשתמש בזה נגד לקוחות אחרים שלך (ומתחרים שלו) אלא אם כן:

1. לא ידעו מי לקוחותיך
2. תשנה את הסטרינג בין כל רישיון ומערכת שתפרסם...

reXtea 09-04-07 15:30
ציטוט:
נכתב במקור על ידי satan (פרסם 455591)
הרעיון הוא להשאיר "דלת אחורית" במערכת שבמידה ואתה, בעל המערכת מחוץ למערכת ומישהו פרץ לך או גנב אותה אז תוכל להכנס חזרה במהירות תוך כדי שימוש בחור אבטחה שעליו רק אתה יודע.

במקרה הזה יש שימוש בשליחת נתונים דרך ה-URL [זו הייתה כוונתו של זה שציטטת] כך שתזין סיסמא ושם משתמש לתוך URL נגיד אפילו בקובץ לוגין משהו כמו:

login.php?user=blabla&pass=dasdds

וזה יעקוף את ההתחברות...אבל לדעתי זה לא יעזור במקרה הזה שיש למישהו גישה לקבצי המערכת...

לדעתי מה שאתה צריך לעשות זה לסבך את הקוד שלך הסופי, לעשות גרסא סופית שבה הקוד מסובל ובעצם על שורה אחת אפילו כך שבמקום שמתכנת יתאמץ לטפל במה שעשית במערכת שלך אז הוא יעדיף כבר לבנות אחת משלו.


במקרה שלך - העלאת קבצים - תהיה יצירתי.
במידה ומישהו מעלה קובץ טקסט [ נגיד אתה ] ובמערכת אתה גם כך קורא את הקובץ ובודק את תוכנו? (קובץ טקסט) אז תעשה שאם במקרה ובקובץ הטקסט יש סטרינג שאתה יודע מראש אז זה נותן לך שליטה על המערכת (כך תוכל ליצור קובץ טקסט, להכניס אליו את הסטרינג, להעלות דרך המערכת שלך ו...).

אבל אז מי שידע על זה במערכת שלך יוכל להשתמש בזה נגד לקוחות אחרים שלך (ומתחרים שלו) אלא אם כן:

1. לא ידעו מי לקוחותיך
2. תשנה את הסטרינג בין כל רישיון ומערכת שתפרסם...
חשבתי על מה שאמרת בקשר לקובץ, אבל במידה ומישהו ברמה בנונית היה פותח את הקובץ, הוא היה מוצא את זה... הוא היה רואה שם משהו מוזר...
זה לא ככה @_@

The Crow 09-04-07 15:41
בעקרון כבר ענו לך, אבל אני אסכם:
- אם יש קובץ התקנה, בעת ההתקנה תשלח פרטים הקשורים למתקין ולשרת שעליו מבוצעת ההתקנה אל המייל שלך.
- תשאיר פריצת אבטחה שרק אתה יודע ובמקרה של... תוכל לפרוץ ולמחוק את המערכת או משהו.

אבל שוב, כל דבר כזה, אפשר לבטל, אפשר לפרוץ.
אין מה לעשות... תיאלץ לסמוך על הלקוחות שלך.

בברכה,
רן.

O-B 09-04-07 23:04
תכין קובץ שיתחבר למסד אצלך בשרת...
שבו יהיה הקוד וכתובת העמוד..
ותשווה עם הנתונים אצלך במסד אם זה לא תקין תנעל את המערכת..
ותפזר את הפונקציות בכל מיני קבצים..

אבל בכל זאת אפשר למחוק..

hi_sorie 09-04-07 23:38
גם אני חשבתי מה אפשר לעשות עם כל העסק הזה של הגניבות...


הנה המסקנה :

כל השאילתות והערכים שצריך יבנו על על הקבצים שבאתר שלך ...
לכל שאילתא שתשלח מאתר מסויים שמשתמש במערכת שלך , יהיה איתו IP של האתר ...
אם הIP קיים ברשימת הלקוחות אפשר ביצוע שאילתא ואחרת בטל...

כמובן שאפשר עוד לפתח מזה 1001 דברים ...
אבל זה הרעיון ....
אם אתה מתכנת ברמה אתה תצליח...

אני למשל בניתי קודים שזורקים לדף HTML ערכים של 1 ו 0 ובודקים אם הIP קיים אם הוא קיים שלח תשובה ( 1 או 0 ) ואז במערכת שאתה נותן ללקוח אתה קורא את הדף ומעתיק 1 או 0...

ככה כל הקודים של התיכנות שמורים אצלך....



מקווה שהבנת... אם לא פנה אלי לא בעיה לעזור לךך....

Eran-s 09-04-07 23:38
ציטוט:
נכתב במקור על ידי O-B (פרסם 455968)
תכין קובץ שיתחבר למסד אצלך בשרת...
שבו יהיה הקוד וכתובת העמוד..
ותשווה עם הנתונים אצלך במסד אם זה לא תקין תנעל את המערכת..
ותפזר את הפונקציות בכל מיני קבצים..

אבל בכל זאת אפשר למחוק..
אויי ואבוי,
ואז הבנאדם ידע סיסמה למסד שלו...?

עדיף כבר לעשות קובץ שמקבל שם משתמש וסיסמה ב-GET ובודק אם הם נמצאים במסד הנתונים ובקובץ יהיה פלט כגון TRUE או FALSE.

O-B 10-04-07 16:02
ציטוט:
נכתב במקור על ידי Eran-s (פרסם 455995)
אויי ואבוי,
ואז הבנאדם ידע סיסמה למסד שלו...?

עדיף כבר לעשות קובץ שמקבל שם משתמש וסיסמה ב-GET ובודק אם הם נמצאים במסד הנתונים ובקובץ יהיה פלט כגון TRUE או FALSE.
התכוונתי שהקובץ יהיה בשרת שלך.. ויהיה קובץ אחר בשרת של הלקוח שיקח את הנתון false או true אם זה אמת המערכת תפעל אם לא המערכת תנעל ואם הפונקציה של הבדיקה נמחקה אז המערכת תנעל..


כל הזמנים הם GMT +2. הזמן כעת הוא 08:48.
עמוד 2 מתוך 3 1 2 3
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ