בעקבות הפריצות של הטורקים כיום.
 

שלום , אני מתכנת ב PHP כבר כמה חודשים , ונתקלתי השבוע ביותר ממאה אתרים פרוצים וכולם היו מתוכנתים ב PHP משום מה , עכשיו אני חושש מפריצה לאתרים שלי לכן אני רוצה לעבור ל ASP.NET ויש לי כמה שאלות.

אז איזה סגנון קוד נחשב לפרוץ יותר כיום ?
PHP
או
ASP.NET

אמרו לי ש ASP.NET הוא קוד "סגור" והוא שולח את הפרטים בקובץ DLL מוצפן אז זה יותר בטוח מPHP.
קיצר , מה נחשב ליותר פרוץ היום ובאיזה פריצת קודים האקרים מתעניינים היום יותר.
תודה.

כל האתרים של מייקרוסופט נפרצו,
והם בטוח לא ב php,
אני אישית מעדיף php, מבחינת האבטחה בשני המקרים רמת האבטחה תלויה במתכנת.

עם השיטה שהם עובדים הם לא פורצים לך את האתר בגלל הסקריפטים שיש לך שם או בגלל איך שכתבת אותם (למרות שגם זה יכול להיות חור באבטחה XSS, SQL-Injection ועוד... )

מה שהם עושים לפי מה שראיתי על כמה וכמה אתרים הם מעלים קובץ index.html בודד והתמונות שיש עליו הם משרתים רחוקים ולא תמונות שהעלו על אותו השרת.
המידה וב .htaccess לא מוגדר איזה דף ראשי יעלה אז העדיפות ל index.html יותר גבוהה מאשר index.php
ככה שהאתר יישאר לך כמו שהיה אבל פשוט בעמוד שיראו זה ה-index.html או htm בפתיחת האתר

יש אופציה למנוע זאת
הוסף לקובץ .htaccess את השורה הבאה
DirectoryIndex index.php index.html index.htm index.shtml

ראה כאן
http://www.twsc.biz/twsc_hosting_htaccess.php

ועוד משהו שעליך לעשות....
את קובץ ה- index.php תן לו הרשאות לקריאה בלבד בכדי שלא ישנו לך אותו במידה והפעילו משהו או עקפו משהו
(CHMOD 444 או 555 לדוגמא)....

היה פעם חור כזה בשרתי IIS גם כנראה שעלו על משהו יותר חדשני צריך לבדוק זאת...
ותעשה עדכונים לשרת עדיף מאשר לעבור שפת תכנות ולשנות את כל מה שבנית תחסוך הרבה יותר כאבי ראש

תודה עם ההסבר .
אבל לי עדיין לא פרצו.
השאלה שלי כעיקרון היא איזו שפה נחשבת יותר מאובטחת? ASP.net היא קוד "סגור" והיא נשלחת ללקוח כקובץ DLL מוצפן אז זה יותר מאובטח טיפה מPHP לא? (אם שמים את רמת האבטחה של המתכנת בצד).
תודה.

מיקרוסופט אכן מתכנתים בASP.NET כי זה שפה שהם פיתחו אבל שימו לב שלא פרצו לשרתי מיקרוסופט פרצו לשרתי ניתובים של הדומיין.. ASP באמת קצת יותר חזקה באבטחה אבל שוב הכל תלוי ברמה שבה המתכנת בונה ובשיטות ההצפנה וכמובן מרכיב מאוד חשוב זה הרמה שבה השרת מאובטח כי יש לזה השפעה רבה..

אין הבדל בין ASP ל-PHP ברמת האבטחה, שתיהן מערכות מתקדמות ומאובטחות.

יש המון דרכים למנוע מאתר לעבוד,
בין אם זה לפרוץ לשרת איחסון שיתופי, ולעשות נזק ל-300 אתרים(דיי מסובך),
או להתקיף את שרתי ה-DNS(מה שקורה ברגעים אלה ב-Zoneedit),
לגלות את הסיסמה לניהול הדומיין ולשנות את שרתי ה-DNS(או לפרוץ לשרתי ה-DNS).

עוד שיטה שתוקפת הרבה אתרים בזמן האחרון, וירוס שמותקן במחשב הלקוח אוגר את חשבונות ה-FTP ששמורות במחשב, ולאחר מכן, רובוטים מסין/רוסיה פורצים לחשבון ומחליפים את קובץ האינדקס.


אבי

השפת תיכנות לא קשורה בעליל.
הכל תלוי במתכנת של האתר .

SQL INJ או RFI או עוד כמה אחרים
זה הכל טעיות שהמתכנת עצמו עשה. אם אתה מפחד או משהו אני יכול לעבור לך על כמה אתרים
ולתת לך חוות דעת . אם יש פירצה או לא

לרוב הפרצה לא ברמה של הקוד שלך.. אלא ברמה של השרת כולו

(כשאתה מאחסן בארץ לפחות)

לי פרצו לשלושה אתרים באחסון, כולם פורמי PHP או שמתוכנתים ב PHP

הפריצה ברמת הקוד
 

ברוב המוחלט של המקרים של פריצות Deface הפריצה היא לא ברמת השפה (כך שזה לא משנה אם זה ASP או PHP), ולא ברמת השרת (לאנשים שפורצים לשרתים לרוב יש מטרות יותר ארוכות טווח מסתם דיפייס).

דיפייס זו לרוב תוצאה של פריצה פשוטה יחסית ברמת הקוד - SQL Injection, XSS, וכו', או ברוט-פורס על סיסמאת ה-FTP (כי לעיתים יותר מדי קרובות וובאדמינס משתמשים בסיסמאות פשוטות מדי).

היו לי מספר פריצות בשבועיים האחרונים שנתקלתי בהן.
גיליתי שהעלו שני קבצי PHP ל-FTP של אחד הלקוחות ובאמצעותם החליפו את דפי הבית של מספר אתרים נוספם על השרת.
מדובר על שרת Win 2003 server עם Plesk

הרוב המוחלט של האתרים הם ASP, אך מה שנתן להם גישה לדיסק זה כנראה ה-PHP

הם פרצו מערכת OScommerce למישהו שאני מכיר וניצלו את הקובץ upload_file.php שנמצא בספריית ADMIN
על מנת לדרוס את ה
index.php

פריצה יכולה להתבטא בכמה רמות:

רמת פיתוח- הקוד עצמו. אין ממש הבדל בין רמת האבטחה. אך לדעתי php יותר קלה לפיתוח, זולה, מקצועית ואולי גם מאובטחת יותר.. איך לזהות מפתח טוב? פשוט! לרוב קוד מסודר נקי וקל להבנה נכתב על-ידי אדם עם ניסיון.
כלי הפיתוח- השפה, התוכנה שמקמפלת(זיהוי באגים וכו'), השרת(אפאצ'י).
ניהול המערכת- ניהול השרת, הגנות וכו'.

לרוב הפריצה היא ברמת ניהול השרת.. ללמוד שפה חדשה נשמע לי כמו רעיון מגוכח.