|
אבטחת מערכת(לא פורום)
שלום
כרגע אני עובד על מערכת ניהול תוכן לאתרים אך יש לי שאלה - כיצד אוכל לאבטח את המערכת מלבד שימוש בקוקיז? תודה מראש.. (שאלה - כאשר אסיים לבנות את המערכת - האם מותר לי לפרסם אותה פה?) |
תלוי ממה אתה רוצה להגן...יש המון סוגי פריצות...
לדוגמא יש לך פריצה שנקראת "התקפת SQL"... אותה אפשר למנוע בקלות ע"י שימוש בפונקציה Mysql_Real_Escape_String קיימות עוד כמה וכמה סוגי פרצות שניתן למנוע אותן...איזה בדיוק אתה צריך? |
פריצה למערכת עצמה
פריצה למסד הנתונים - ובכך משתנה הטקסט הפלת האתר\DB וזהו נראה לי....אני לא כלכך מבין באבטחה..במה עוד? לגבי הפקודה שנתת לי - כיצד להשתמש בה ומה זה התקפת SQL תודה!! |
ציטוט:
http://phpsec.org |
הזרקות XSS
שגיאות שרת ע"י GET שגוי עם פרטי FTP שמובילות לפריצות FTP |
אתה יכול להסביר קצת על הזרקת SQL לפני שאני קורא?
תשובות לשאלותי הקדודמות? תודה! BlueNosE אה? לא הבנתי כלום.. |
הזרקות XSS: כל מיני טקסטקים שמכניסים לטקסט בפורמט HTML כדי שהטקסט יצא לא ברור, מוזר, הורס את המסגרת או אפילו הורס את האתר או מפנה לאתר אחר ע"י סקריפט.
שגיאות GET: שגיאות שנגרמות ע"י הכנסה זדונית של קוד פגום לGET (כמו הכנסת ערך לא נאמרי בID). הם מספקות מידע אודות הכתובת המלאה של האתר ולפעמים אודות מסד הנתונים. |
אוקי, ואיך אני חוסם את אותם חורים שגורמים לכך?
|
פשוט, הולך לכל מקום שבוא יש קלט שהמשתמש יכול להכניס, חוסם אותו עם פונקציות, לדוגמא אם הGET הוא בשביל ID, תשתמש בפונקציה intval, אם זה טקסט הנכנס למסד mysql_real_escape_string וכו'
|
זה הקטע...שאין למשתמש שהוא לא מנהל להכניס קלט....
|
ציטוט:
|
כל מידע שאתה מקבל מהמשתמש, גם אם זה מנהל, צריך לעבור סינון פקדני בהתאם.
סינון לא מספיק, ישנן סוגי התקפות שאתה צריך לנקוט בצעדים אחרים כדי למנוע. תמיד תיהיה בגישה של - מה שהמשתמש הביא לי פה זה זדוני עד יוכח אחרת באמצעות בדיקות ופונקציות שאתה תערוך. אתה רק צריך להכיר את סוגי ההתקפות והדרכים למנוע אותן. |
אוקי
בעיקרון אני מאמין שהלקוח לא יוסיף עוד מנהלים שהוא לא סומך בהם... בכל מקרה איך אני סותם את הפרצה הזו? עם הפקודה ההיא? איך אני משתמש בה? ולגבי שאר הפרצות שאמרתי? תודה! |
|
ציטוט:
|
ציטוט:
mysql_real_escape_string נועד על מנת להגן מפני הזרקות SQL. |
ציטוט:
|
ereg_replace("'", "", $var)
גם שימושי, לא? |
אוקיי, אז נסכם?
שימוש בספיישל צ'ארס + אסקייפ סטרינג יספיקו על מנת לאבטח את ה-GET? אגב, מישהו מוכן להסביר לי מה ההבדל בין: PHP קוד:
|
ציטוט:
מה שדיברנו לפני זה.. זה על אבטחת טפסים ונתוני POST בד"כ (מי מעביר היום מידע טפסים בGET?) |
אוקי תודה.
איך אני משתמש בפקודות אלו? |
|
ואיך בהזרקת SQL?
|
אני לא ארחיב יותר מידי בנושא אבל אני יגיד את זה ככה
הרבה שטויות נאמרו באשכול הזה ואף אחד לא התחייס פה בצורה רצינית ל REGISTER GLOBALS ו MAGIC QOUTES אם MAGIC_QOUTES דולק האפקט של MYSQL_ESCAPE_STRING משתנה ויכול ליצור לכם בעיות עם עודף סלאשים אם REGISTER_GLOBALS דולק אני יכול לשנות הרשאות בקוד ללא בעיה ולתת לי הרשאה להיות מנהל יש עוד סוגים של אבטחות העיקר זה תמיד לבדוק את הפלט הרבה אנשים עושים את הטעות הזאת לדוגמא : PHP קוד:
כולל ההגדרות של ה MYSQL PHP וDA או מה שזה לא יהיה יש הרבה סוגים של תקיפות ולא את כולם לומדים ביום אחד... ובטח ובטח שהאשכול הזה לא ייתן לך את התשובה המושלמת יש מאות מדריכים תחפש בגוגל php security ותתחיל לקרוא אולי זה יעזור לך. |
אוקי
אני מדבר על הנפוצות ביותר ולא ללמוד אבטחת מערכות כמקצוע - פשוט שלמערכת תיהיה קצת אבטחה רעיונות? |
ציטוט:
אתה חייב לדעת מינמום של אבטחה. |
אני לא הולך לתכנת חנויות...אבל כן אני רוצה לדעת מינימום של אבטחה...אם כן - מה הנושאים?
|
תשמע רותם.
אני בא ומדבר עם מישהו בחשיבה שהוא לא ישתמש בREGISTER GLOBALS כאילו כלום ואפילו יעשה מאמץ לבטל, ושלא יאנקלד קבצים בלי ביקורת. אני מדבר לאנשים בהנחה שדברים כאלה ברורים מאליו.. |
| כל הזמנים הם GMT +2. הזמן כעת הוא 21:51. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ