הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - SecureMe v1.0 (https://hosts.co.il/forums/showthread.php?t=56014)

talbeno

03-11-07 20:25

SecureMe v1.0

שלום לכולם וערב טוב,
שמי טל בנו, והחלטתי להוציא פאנל אבטחה חינמי, גם כדאי לעזור לאנשים, וגם כדאי לנסות לקדם את התחום.
בפאנל תוכלו למצוא מגוון אפשרויות, כגון צפיות ברישומים, חסימות משתמשים, ועוד.

הפאנל הוא חינמי מהסיבה הפשוטה - האבטחה עצמה, היא רק חסימה פשוטה של מילים בשורת הכתובת..
בפאנל השקעתי הרבה זמן ועבודה, ובכל זאת החלטתי להפיץ בחינם, מפני שבסך הכל המערכת הזאת היא התאמנות שלי בPHP.

המערכת עוצבה על ידי DBD התותח, תודה רבה דניאל ;) (הוא לא בקהילה)

אז..אשמח לקבל תגובות בונות, ואם מישהו רוצה משהו, הפרטים שלי למטה :)

לינקים להורדה:

RapidShare
MegaUpload
Files-Upload

ססמא

קוד:

secureme

התקנה

1. מלאו את פרטי הDB בקובץ db.php
2. הריצו את הקובץ install.php, ומחקו אותו מהשרת
3. יבאו את הקובץ secme לקובץ שאתם רוצים שיהיה מוגן ע"י הקוד הבא:

קוד:

<?php include "secme.php"; ?>

תהנו? :)

ShLooK

03-11-07 20:31

אחלה יוזמה אחי...
מה הסיסמא לRAR?

talbeno

03-11-07 20:42

ציטוט:

נכתב במקור על ידי ShLooK (פרסם 574644)

אחלה יוזמה אחי...
מה הסיסמא לRAR?

סליחה, שחכתי להוסיף.
תודה.

Daniel

03-11-07 20:48

היוזמה מצויינת, אך הביצוע לא.

אנשים ישתמשו בזה מתוך מחשבה שזה יחסום להם את כל הפריצות....

זה בנוי בצורה חובבנית, זה לא חוסם כמעט כלום....

אם זה לאימון, הייתי מציע לך לנסות לבנות את זה באופן רציני,
שלא נדבר על הקידוד-50 תמונות.

אבל הכי חשוב-הכוונה.

miniature

03-11-07 20:49

דמו?

talbeno

03-11-07 20:54

ציטוט:

נכתב במקור על ידי MasterT (פרסם 574653)

כן אני יודע, אני לא יודע לקודד, ולכן זה לא מקודד גם..:S
חוץ מזה, אני כתבתי במופרש - האבטחה עצמה, היא רק חסימה פשוטה של מילים בשורת הכתובת, אז לדעתי האנשים שיתמשו, צריכים לדעת שהאבטחה פשוטה ביותר, ולכן הם לא צריכים לצפות למשהו..
אני מניח שבעתיד, כאשר יהיה לי ידע רב יותר בPHP, ואלמד (אני מקווה) אבטחת אתרים, אוכל להתחיל פרוייקט ביתר רצינות ולהגיע לתוצאות.
תודה בכל זאת :)

כרגע אין דמו, אני לא עומד לפתוח לזה איזה אתר או משהו, לא יודע אם אני אתקדם אם זה עוד.

חיים	03-11-07 20:56

ציטוט:

נכתב במקור על ידי MasterT (פרסם 574653)

לפי דעתי זאת תגובה ממש לא יפה דניאל.. ממש עוקצני מצידך..
הוא כתב שזה סתם חוסם דברים לא רציניים וזאת לא אבטחה אמיתית...
ולנושא:
אחי כל הכבוד על ההשקעה! יפה מאוד שהוצאת פאנל נחמד כזה וכ"ו ועוד בחינם...

RazRaz

03-11-07 21:00

כל הכבוד על היוזמה.
יפה מאוד מצידך.

miniature

03-11-07 21:06

ציטוט:

נכתב במקור על ידי talbeno (פרסם 574665)

האבטחה עצמה, היא רק חסימה פשוטה של מילים בשורת הכתובת, אז לדעתי האנשים שיתמשו, צריכים לדעת שהאבטחה פשוטה ביותר, ולכן הם לא צריכים לצפות למשהו..

אז למה הבאת את זה להורדה? שיפרצו לאנשים? הרי זה אמור להיות לוח בקרה..
עם כל הכבוד, זה נראה כאילו הבאת את זה שיראו שאתה יודע לתכנת.. או משהו כזה.. :-/

S-Preso

03-11-07 21:07

יפה,
שכחת לציין פרטים להתחברות לפאנל:
admin
admin

הפאנל דפוק, אני לא מצליח להגיע לשום מקום זה שולח אותי לפה:
forum/index.php?act=Login&CODE=00

talbeno

03-11-07 21:08

ציטוט:

נכתב במקור על ידי miniature (פרסם 574679)

ממש ממש ממש לא!

תגיד לי רגע, זה לא עדיף מכלום?

Daniel

03-11-07 21:43

ציטוט:

נכתב במקור על ידי חיים (פרסם 574670)

במידה ואני אפתח אשכול עם אבטחה-שתחסום כמה מילים ב-GET, זה באמת לא יעזור.

עוקצני מצידי אם הייתי כותב את זה בצורה מזלזלת לגמריי, ולא כתגובה בונה-אלא כהעלבה.

הוא כתב את זה לאימון-משמע, הוא צריך גם לקבל ביקורת-כדי להשתפר בעתיד.

בבקשה, אתה פשוט רודף אחריי ומבקר כל תגובה שליי בהטעיות.

תיכנס לפורום עיצוב וגראפיקה-מבקרים שם אנשים שנותנים PSD חינם. למה? כי זה למטרות אימון.

במידה ופותח האשכול לא ציין מפורשות שהוא לא רוצה להשתפר-ולא מעוניין לקבל ביקורת, זכותי-ואפילו חובתי המוסרית לתת תגובה בונה.

זה שיש אנשים שלא יכולים לקבל תגובה בונה(ומזל שלא נתקלתי באף אחד כזה בהוסטס) זה עצוב, אבל אנשים שמקבלים תגובה ומשתפרים-זה תורם לכל אחד, לי, להם, וכו'.

DorWD

03-11-07 21:52

ציטוט:

נכתב במקור על ידי miniature (פרסם 574679)

עדיף מערכת פריצה? או מערכת פריצה עם כמה אבטחות?

בא אדם, מתאמץ ונותן עבודה שלו בחינם, וככה אתם יורקים לו בפרצוף, תתביישו!.
אפילו שיבנה סתם סקריפט התחברות פשוט, אם הוא יפרסם את זה לקהילה, ואפילו אם זה יהיה פריץ
אני אגיד תודה

ובנימה זו: תודה

MasterT, אולי לא התכוונת לזה, אבל הביקורת שלך היא לא בונה, היא עוקצנית (ואני לא אומר שהתכוונת)

אתה לא הראת לו מה לשפר, ולכן זוהי לא תגובה בונה

miniature

03-11-07 22:12

ציטוט:

נכתב במקור על ידי DorWD (פרסם 574694)

אם הוא בעצמו יודע שזה פרוץ, ושלא כדאי להשתמש בזה בגלל האבטחה, בשביל מה להביא את זה כאן להורדה?

talbeno

03-11-07 22:17

כי זה עדיף מכלום.
בסדר, הבנתי שזו ביקורת בונה, ותודה, לא נעלבתי או משהו.

אפשר להפסיק עם הנושא הזה, מי שירצה ישתמש, ומי שלא - לא.

DorWD

03-11-07 22:22

ציטוט:

נכתב במקור על ידי miniature (פרסם 574700)

אם הוא בעצמו יודע שזה פרוץ, ושלא כדאי להשתמש בזה בגלל האבטחה, בשביל מה להביא את זה כאן להורדה?

בשביל לשתף, מה שרוב האנשים לא עושים פה!.

S-Preso

03-11-07 22:22

עדיין לא הבנתי מה האבטחה הזאת עושה?
רשום בפאנל רשימה של אנשים שפרצו...
איך אני מנסה לפרוץ ושזה יופיע שם?

Tom_l

03-11-07 22:31

אתם מתנהגים ממש מגעיל, בא בן-אדם שמציע מערכת אבטחה חינמית לבעלי אתרים שכרגע אין להם כסף להוציא על אבטחה.

לדעתי כל הכבוד, אחלה יוזמה, המשך כך.
עוד מעט אני אבדוק את האבטחה :)

Tomer

03-11-07 22:31

S-Preso - קיבלת אזהרה, התבטאות ממש מכוערת ("הפאנל דפוק")

daMn	04-11-07 00:02

קבל ח"ח על ההשקעה והשיתוף בסקריפט.
עברתי על הסקריפט קצת, נחמד, יש על מה לעבוד.
בהמשך הדרך שתבנה מערכות אתה כבר תראה שכל מערכת שאתה בונה אתה כבר בונה לה מערכת הגנה, בזמן הבנייה, ולא בסקריפט נחמד.

RS324

04-11-07 07:23

לפותח האשכול... כל הכבוד על היוזמה

ולנושא, זאת הטעות העיקרית
רבים נוטים לחשוב שחסימת מילים ב GET היא הפתרון או רבע פתרון או חלק קטן של הפתרון.
אז זהו שלא ואני אציין למה :

1. יש כל כך הרבה מילים, שאני בטוח ששום רשימה כאן לא מקיפה את כולם.
2. אפשר להכניס את המילים האלה לא רק ב GET אלה גם דרך POST ודרך COOKIE ואפילו דרך FILES אז למה לעשות סינון רק ל GET
3. האפשרות הזאת של הסינון רק מכבידה על האתר , להעביר רשימה כל כך ארוכה על 3-4 סופר גלובלס העיקריים, לוקחת בעיקר משאבים שיאטו את הטעינה של האתר גם אם בפועל לא בוצעה פעולה.
4. נניח וזה באמת עובד, חשבתם על זה שזה יכול לחסום דברים חשובים ולהרוס פעולות לדוגמא :

PHP קוד:


		
			
index.php?mod=users&act=select&userid=55

במקרה כזה דפקתי את כל הפעולה.

דרך הרבה יותר טובה היא לכתוב קוד נכון ככה שגם אם יכניסו את המילים האלה זה לא ישפיע האתר.
סתם נקודה למחשבה.

HighA

04-11-07 08:49

צודק.....
טוב, דבר ראשון כל הכבוד על הפרסום
דבר שני, תעבוד עם רווחים, אני פעם עבדתי כמו שאתה עובד עכשיו, אבל אם אתה עכשיו בא לערוך שם משהו, זה מסובך :\
אתה תבין את הקוד של עצמך יותרטוב עם תעשה רווחים אחרי כל{
דוגמא:

PHP קוד:


		
			
<?php

$a=3;

if($a<5){

    echo "A is smaller then 5";

}

?>

דבר שלישי, לא ממש בדקתי את כל המערכת, נכנסתי רק לקובץ secme.php
את כל החלק

PHP קוד:


		
			
<?php

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = addslashes($_SERVER['REQUEST_URI']);

$query = mysql_escape_string($_SERVER['REQUEST_URI']);

htmlspecialchars($query);

?>

לא מספיק

PHP קוד:


		
			
$query = mysql_escape_string($_SERVER['REQUEST_URI']);

$query=htmlspecialchars($query);

RS324

04-11-07 09:00

יש פה טעות :

PHP קוד:


		
			


<?php

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);

$query = addslashes($_SERVER['REQUEST_URI']);

$query = mysql_escape_string($_SERVER['REQUEST_URI']);

htmlspecialchars($query);

?>

כל פעולה אתה מבטל את הפעולה הקודמת
מהפעולה השניה והלאה היית צריך לעשות את הפעולות על המשתנה $query

talbeno

04-11-07 09:51

תודה רבה.

somebody

04-11-07 13:20

חסימת מילים?!|:
למה לחסום מילים??
אם חוסמים רק את התווים, שיכולים לגרום לקח, שאותם המילים במקום לשמש כקלט, יהיו חלק ממשפט או תנאי בSQL או בקוד עצמו זה דאי ביותר(כמובן רק בשלב הזה של קבלת הקלט).

בכמה וכמה מהמערכות האחרונות שלי אני מפעיל את אותה שיטת אבטחה(וכמובן שאין בה חסימת מילים), והיא עובדת...
לא הבנתי מה הרעיון בלחסום מילים, יכול להיות שזו איזו בעיה ב PHP? כי ב ASP בכל מיקרה אין שום בעיה עם מילים, אלא עם תווים..

בכל מיקרה יוזמה יפה, ובהצלחה בהמשך הדרך:)

talbeno

04-11-07 13:41

אני חוסם גם מילים וגם תווים.
שיהיה על כל מקרה, אם ימצאו איזה דרך בhex או משהו.

תודה :)

DDRHOSTING

04-11-07 15:11

אחלה יוזמה

Daniel-H

05-11-07 00:32

אבטחה נחמדה, לא תעזור במיוחד ניתן לעקוף אותה בכמה שניות, נגיד ורשמתי union או select לא ניסתי לפרוץ, רשמתי רק UNION וזה חסם אותי תנסה לבנות באמת אבטחה או לא סתם עמוד שחסום כמה מילים בGET.

talbeno

05-11-07 09:03

זה שסתם רשמת זו לא הבעיה שלי, אתה לא אמור לרשום את זה.

ואני כתבתי כבר, שזו אבטחה פשוטה של חסימת מילים\תווים בGET.

Elad-P

05-11-07 17:13

אחלה יוזמה אבל אני ממליץ לך כל פעם לחדש את הסקריפט ולערוך אותו ככל שאתה משתפר

TGF.co.il

05-11-07 17:56

עבודה מעולה..
אולי אני אשתמש בזה :)

Amits

05-11-07 19:07

נחמד מאוד, תודה!

WCMS	07-11-07 00:27

כמו שאמרתי בתוכנה מסרים ("ICQ").
זה יעזור לכמה אנשים אפילו לראות במקור של האבטחה.
היא נחמדה תוכל להשתפר בעתיד.
ולעשות מערכות יפות וטובות :)
אחלה מערכת אבטחה :)

MusicMan

07-11-07 16:20

דבר ראשון כל הכבוד על היוזמה!

תלמד להתבטא ! פעם הבאה זה יבוא עם אזהרה ולא רק עריכה של ההודעה.

Inet	08-11-07 17:44

כל הכבוד על היוזמה...

למרות שזה קוד חובבני מעט אבל אני מאמין שאתה יודע יותר טוב אבל לא השקעת את מלוא החוכמה שלך

DavidT

10-11-07 15:05

מממ.. מה היא מאבטחת ?

Striker

10-11-07 15:25

אממ רעיון נחמד אבל...

PHP קוד:


		
			
<?php
$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);
$query = str_replace("''", "'", $_SERVER['REQUEST_URI']);
$query = addslashes($_SERVER['REQUEST_URI']);
$query = mysql_escape_string($_SERVER['REQUEST_URI']);
htmlspecialchars($query);
?>
<?php

מה שעשיית פה לא שווה כלום , המידע לא נשמר בשום מקום. בתכלס רק השורה האחרונה עושה משהו.

חסמת גם כל מיני מילים לא נחוצות כמו %20 , שסתם יכולות לחסום משתמשים תמימים.

אני מאמין שגם היה אפשר לרכז את כל המידע (בצורה מסודרת) בקובץ אחד או שניים , מה שפרסמת ממש "נראה" מערכת אבטחה רצינית שבפועל הקובץ היחיד שמאבטח זה SECME

שוב , אני מקווה שלא העלבתי אותך ..
פשוט כדאי שתלמד קצת להבא.

|קורץ|אורי.

RS324

10-11-07 15:42

טוב נראה לי שהנושא קצת יותר ממיצה את עצמו.
נעול.

כל הזמנים הם GMT +2. הזמן כעת הוא 08:40.