הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   PHP | אבטחה. (https://hosts.co.il/forums/showthread.php?t=49454)

HagaiA 15-07-07 19:25

אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר,
אבל לאבטח אתר בקובץ אחד - יש אפשרות בחלק מהמקרים מכיוון שזה גלובאלית מאבטח את המשתנים הסופרגלובאלים וכו'.

mysql_escape_string בעצם מסנן פקודות וכו' של המסד

בקשר לRFI כבר עניתי על זה לדוג' קח את ההזרקת SQL.

בתודה,חגי אבישר,
שמחתי לעזור ואני גם רוצה להגיד את דעתי בנוגע לזה שמגיבים כאן כלכך הרבה וזריז,
יש כאן תחרות,התחרות היא ספציפית לגבי אבטחת מידע ותיכנות, אלה שמגיבים כאן ומתווכחים מנסים גם להוכיח את עצמם שהם טובים ולא רק לעזור, לפחות זוהי דעתי בנושא.

ASTeam 15-07-07 20:35

שמע יכול להיות שאתה צודק עם הקטע של העזרה.
אבל עכשיו כל אחד מתלכלך על השני...
הם אמרו שאתה חלטוריסט אתה אומר שהם לא באמת עוזרים סתם טובות הנאה וכו'.
זה לא יגמר וחלאס...
"אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר,
"
מצטער לומר לך באתר שלך - phpsec.net היה את זה...
עכשיו עזוב את זה..מה שסיכמתי שם היה נכון?!

HagaiA 16-07-07 01:27

א.לא אמרתי שהם לא באמת עוזרים,אתה ראית שהם באמת עזרו,פשוט אמרתי שיש חלק שהכוונה שלהם זה לא רק עזרה
ב.יש הרבה שמועות,חצאי שקרים אבל שידברו,מי שמכיר אותי יודע מי אני ואם אתה תכיר גם אתה תדע ואני יוסיף אותך לאייסיקיו נדבר שם מחר גבר.
ג.בPHPSEC רשום את מה אני מאבטח,לא רשום שזה מוכן ולא כלום,האבטחה המוכנה שלי היא למערכות מוכנות,כאלה שהגדרתי להם את האבטחה מראש,וגם כמו שאמרתי ואם לא אז תדע שאבטחת מידע זה דבר אינטגרלי שתמיד צריך להשתנות ואני תמיד משנה דברים במקומות ואני בחיים לא שם סתם אבטחה שלא קשורה למערכת בלי שאני מכיר את הניצולים שבה.
בקשר למה שסיכמת שם אני יבדוק את זה מחר ממש אין לי כוח עכשיו אבל מחר בכיף גבר.

HagaiA 16-07-07 01:44

א.לא אמרתי שהם לא באמת עוזרים,אתה ראית שהם באמת עזרו,פשוט אמרתי שיש חלק שהכוונה שלהם זה לא רק עזרה
ב.יש הרבה שמועות,חצאי שקרים אבל שידברו,מי שמכיר אותי יודע מי אני ואם אתה תכיר גם אתה תדע ואני יוסיף אותך לאייסיקיו נדבר שם מחר גבר.
ג.בPHPSEC רשום את מה אני מאבטח,לא רשום שזה מוכן ולא כלום,האבטחה המוכנה שלי היא למערכות מוכנות,כאלה שהגדרתי להם את האבטחה מראש,וגם כמו שאמרתי ואם לא אז תדע שאבטחת מידע זה דבר אינטגרלי שתמיד צריך להשתנות ואני תמיד משנה דברים במקומות ואני בחיים לא שם סתם אבטחה שלא קשורה למערכת בלי שאני מכיר את הניצולים שבה.
בקשר למה שסיכמת:
בוטים\ספאם: אל תבדוק רק לפי סשן תעשה שמירה של IP בטקסט ואז אתה יכול לעשות אפ' FILE_GET_CONTENTS וSTRSTR לIP

בקשר לXSS:
"וגם חשוב לא לגרום לשגיאות למשל אם יש ?page=30 ועמוד 31 לא קיים אז שיבדוק שאם העמוד לא קיים שיעשה DIE אבל שלא יציג שגיאה,
אלה דברים חשובים שאתה חייב לזכור."

ASTeam 16-07-07 10:20

זה קשור לXSS??
הרי אם עשיתי אינבטל אפחד לא יכול להכניס שם שום דבר חוץ ממספרים...
אז מה זה משנה?

Tomer 16-07-07 13:16

ציטוט:

נכתב במקור על ידי Keyboard_C (פרסם 522026)
אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר,
אבל לאבטח אתר בקובץ אחד - יש אפשרות בחלק מהמקרים מכיוון שזה גלובאלית מאבטח את המשתנים הסופרגלובאלים וכו'.

mysql_escape_string בעצם מסנן פקודות וכו' של המסד

בקשר לRFI כבר עניתי על זה לדוג' קח את ההזרקת SQL.

בתודה,חגי אבישר,
שמחתי לעזור ואני גם רוצה להגיד את דעתי בנוגע לזה שמגיבים כאן כלכך הרבה וזריז,
יש כאן תחרות,התחרות היא ספציפית לגבי אבטחת מידע ותיכנות, אלה שמגיבים כאן ומתווכחים מנסים גם להוכיח את עצמם שהם טובים ולא רק לעזור, לפחות זוהי דעתי בנושא.

אז למה אתה קורא לזה RFI ולא SQL Injection? בבקשה ממך, תפסיק לדבר שטויות ואל תנסה להתלהב כאן על אנשים, ואני אומר את זה בנימה מאוד חברותית.

HagaiA 16-07-07 16:05

אה אם עשית INTVAL אז סבבה
ובקשר אליך תומר:
RFI יכול להיות גם PHP INJECTION אבל נתתי לך דוג' חדה שתמחיש לך את העיקרון של הRFI.
לא ניסיתי להתלהב על אנשים וכל מי שחושב ככה כרגע מקבל את סליחתי ;)

RS324 16-07-07 22:20

תשמע חגי, אתה מדבר שטויות והרבה פעמים, אתה מוכר לאנשים דברים שלדעתי הם שקר
מה נראה לך שכולם נגדך ?
תהיה אמיתי זה ישתלם בסוף.... מה שאתה עושה או יותר נכון קורא לזה "מאבטח אתרים מקצועי"
זה שקר בעיינים... אמרתי לך את זה פעם באופן פרטי.

מילא היית מוכר לאנשים "אבטחה" ולא מדבר כל כך הרבה שטויות אז זה אולי היה נשמע אחרת.

והמסר שלי הוא, שאף אחד לא נגדך פה, אתה גורם לזה על ידי זה שאתה מפגין חוסר ידע \ ממציא ביטויים שלא קיימים \ עובד על אנשים בעיינים

אז ב 2 מילים, דיי תפסיק.
מה שאתה עושה לא מכבד אותך, ולא מכבד קהילה שלמה של מתכנתים.

Eran-s 16-07-07 23:41

חחחח מבירור שלי בנוסף לבדיקה שעשה כאן מישהו באשכול, יש ביטוי שנקרא RFI שקשור לאבטחה אבל זה לא מה שחגי ציין.
הפירוש של RFI באבטחה הוא Remote File Include, מה שמעיד על כך שחגי בטח שמע בעבר על הביטוי והריץ חיפוש בגוגל או וויקיפדיה ורשם מה זה וטעה.

HagaiA 17-07-07 03:15

מפגין חוסר ידע?לא חושב,תראה לי דבר אחד שציינתי שהוא טעות
בקשר לביטויים שאתה אומר שאני ממציא וגם אתה ערן,
באבטחת מידע RFI זה Request For Info אז כאן תסתובבו ותסתכלו על עצמכם ותבינו שאתם טועים, תצאו מהבועה שלכם,לחרטט אותכם אין לי שום סיבה וגם מניע אני בכלל לא מכיר אותכם,
רוצים להמשיך להתווכח?בכיף.


כל הזמנים הם GMT +2. הזמן כעת הוא 18:03.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ