מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :)
 

אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה,
פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד.

PacketSecurity היא אבטחה ברמה טיפה מתקדמת,
ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה!

אתם שואלים את עצמכם - איך?!
הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה",
השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL!

קודם כל - מה התכונות של האבטחה?

• SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה.
• Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה...
• Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure.
• Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות.
• Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר.
• XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים.
• Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים.
• Open Redirection - העברה לאתר אחר (לעיתים פישינג).
• Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים.

אוקי, עכשיו מה ברמה הניהולית:

• פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים.
• פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות.
• המנהל יכול לסגור את האתר או את הרשיון של הלקוח.
• נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!!
• המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן.

חשוב להרחיב למי שעדיין לא הבין כמה נקודות:
א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION.
ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו!

איך אני משלב אותה באתר שלי?

כמו מה שאמרתי, תגיד include פשוטה - זה נשמע כמו אבטחה מעפנה אך שתצפה בקודים תבין שזה מעולם אחר.

אשמח לדעתי איך קוראים לך , רז במקרה ?

יישר כוח, חשבתי לבנות פעם כזאת אבל גיליתי שזה המון עבודה.
יש אתר שכבר עובד עם המערכת שנוכל לבדוק?

מה המחיר?

היי,

אני אשמח לדעת איך ע"י include של קובץ אתה יכול להגן בפני התקפות ddos? כנ"ל XSS.

לא רז, קוראים לי דוד.

בתהליך, אני צריך לחפש קודם כל אחסון טוב :)

500 שקל - אתה מקבל את הכל (הפאנל, ההסברים הכל!).
האבטחה הזאת גם יכולה להמחר בתשלום חודשי ולא בחד-פעמי!

Tomer - האבטחה שלי לא מגנה מפני DDOS דרך השרת, אם אתה מתקיף את השרת אתה יכול להפיל אותו, אבל האבטחה שלי מגנה מDDOS דרך האתר - היא משתמשת בקוד שאם אתה מעוניין לפרסם תגובה - אתה חייב לפרסם אותה מהדפדפן (ולא דרך BOT שבנית דרך PERL\C וכדומה...)

איך היא יכולה להגן על XSS דרך Include? למה אתה לא שואל אל זה גם על SQL Injection, RFI, LFI, וכל החסימות האחרות שציינתי פה?!
ובכן, התשובה הזאת נמצאת אך ורק בקוד של המערכת.

אפשר לזייף בקשה של דפדפן ממש בקלות. אין לך באמת דרך לדעת.

אם אתה רוצה, אני יכול לשאול גם לגבי האחרים... מצטער שאני סקפטי, אבל שאר המערכות 'אבטחה' שאנשים שונים ניסו למכור בפורום לא היו מי יודע מה (בלשון המעטה) והוצגו בדיוק כמו שאתה מציג את שלך.

בוא אני יסביר את זה קצת יותר טוב - כשאתה נכנס לאתר אתה מקבל קוד שמשתנה כל מעבר לדף אחר, וכשאתה שולח תגובה הוא בודק את הקוד הזה ולא נותן לך למשל ללחוץ על F5 עוד פעם.

אי אפשר לזייף את זה, מה שכן אפשר להתחיל אותה מחדש - וזה כבר תלוי בשרת ולא באתר.

עוד פעם אני מפספס אותך Tomer,
בעיקרון אני לא יכול להגיד לך איך זה פועל מחשש שה"פטנט" הזה יגנב - אבל מצד שני אני ממש רוצה שידעו שהשיטה הזאתי גאונית.
שלח לי הודעה לפרטית ואני אסביר לך את אופן הביצוע.

מה ההבדל בין F5 (ריפרש) לבין לחיצה נוספת על הקישור "עמוד הבית" באתר שהקוד שלך מוצב בו?

שוב, בלבול נושאים.
אם אתה לוחץ מלא פעמים על כפתור הבית או על כפתור הF5 כאשר לא נשלחה שום בקשה - השרת צריך להתמודד עם ההתקפה הזאתי,
אם אתה לוחץ "שלח תגובה" - ולוחץ F5 הדפדפן שואל אותך אם לשלוח שוב את הבקשה, מכיר?!

הגבתי לך עליה בפרטי. אני לא חושב שהיא יוצאת דופן משאר השיטות שמשתמשים בהם. אני ארשום מה שרשמתי לך בפרטי - לדעתי, לא ניתן לחסום אתר שלם ע"י קובץ אחד שמאונקלד (include) בראש הדף ורץ משרת אחר.

משתמש שרוצה מערכת מאובטחת שלא ניתן יהיה לחדור אליה - שיתחיל לאבטח את הקלט שלו ואת השרת שלו.

כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה
לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

נכון,
אבטחה אמיתית היא אבטחה שאתה בטוח שהמידע המועבר בשרת נעבר רק ע"י השרת ולא ע"י גורם שלישי.
חיסרונות - איטיות, על סמך האחסון שהבחור יספק, אתם תוסיפו גם את הזמן תגובה של האחסון שלו ושלכם.
חור אבטחה אחד גדול במידה ועשיתם אינקלוד לקובץ אחר תגידו לי מה הבעיה שלו להזריק אל תוך האחסון קובץ שאלל כלשהוא?.
וכמו שהבחור מעלי אמר וכבר ציינתי זה יהיה באותה שיטה כמו MITM שנחשבת כיום למתקפה בין המסוכנות שקיימות.

לפותח האשכול - אני לא יודע מה הכוונה שלך,
בין אם היית תמים ובין אם לא.
דבר כזה לא מוכרים!
מערכת אבטחה תשב אך ורק על השרת שלי,
במידה ולא תהיה בטוח שאתה מוכר כאן לאנשים חתול בשק(בין אם רצית בכך ובין אם לא).
אפילו אם אותם בחורים סומכים עליך וחתמתם על חוזה אז מה יקרה אם האחסון שיש בידך יפול לידיים זדוניות? חשבת על זה?
תחשוב על כל התוצאות נשמה..
אני גם בניתי מערכת אבטחה ותימכרתי אותה אבל לא עבדתי בצורה שלך.
שאתה מוכר אבטחה תמכור את כולה ולא חלקית.

אני מקווה שתבין את הטעויות שלך אבל בעל אתר,עסק או כל אתם שיקנה ממך את המערכת לא ירשה לכזה דבר.

לילה טוב,
איציק.

גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה.
נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום.
דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר.

בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות...

הו, סוף סוף תגובה חיובית :)
תודה רבה :P

כן אני מתכנת ולאבטח צריך לגשת אל הקוד ואין אפשרות לעבוד עם קובץ חיצוני נקודה.
אולי אפשר אבל האבטחה שווה לתחת

RSS זה לא דבר שניתן לאיבטוח - זה סה"כ קריאת עידכונים...
עד שלא ראיתם את הקודים, אין על מה לדבר...

אני אשתדל לא לחזור על דברים שכבר נאמרו, מאוד חשוב לי להבהיר לך את הנקודה.

ראשית אני מאוד מצטער לנפץ לך את החלום, אבל אתה תופס מהמערכת שעשית הרבה יותר ממה שהיא, ליתר דיוק הרבה יותר ממה שהיא יכולה להיות.

להעביר כל קלט שמתקבל מהמשתמש כל סינון אפשרי זה לא בעיה,
הבעיה היא מה שקורה כתוצאה מזה - אתה מבזבז משאבים בצורה מטורפת, אתה עלול להרוס פונקציונליות של קוד שלם כשאתה חוסם דברים שכן אמורים להתאפשר ולסיכום אתה ממש, אבל ממש, לא עושה את זה כמו שצריך.

אין כאן שום מקום להשוואה בין הדבר הזה לבין מתכנת שעובר לך על מערכת ומאתר בעיות אבטחה בצורה נקודתית,
מערכת כזאת לא מסוגלת להגיע לרמת גימור כזאת, ולא משנה עד כמה מתוחכמת היא תהיה.

אם אתה מתעסק בתחום כל כך הרבה זמן כמו שאתה טוען,
אתה אמור לדעת את זה בעצמך.

זה יכול לשמש כפתרון זול, פתרון זמני, פתרון מהיר,
אבל פתרון טוב ואיכותי - זה פשוט לא יכול להיות.

סליחה?! אתה מזלזל בידע שלי או שנדמה לי?!
זה שאתה מפזר מילים בשטח כמו "הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....
מאיפה לנו לדעת את זה? אחרי הכל אנחנו לא יודעים את התוכן של הקובץ שאנחנו מאנקלדים לשרת.
MITM - אני לא יודע מה זה?
אני אמרתי שזה פועל באותו סגנון שכל התעבורה עוברת ע"י צד שלישי ואגב זה לא הצפנה בראוטר זה SSL תקרא על זה.

ולמה לא התייחסת לשאר ההודעה שכתבתי?
לזה שאתה מוכר חור אבטחה אחד גדול בעצמך.
תתייחס לזה ואל תתייחס רק למה שאתה רוצה.

ובעקבות התגובה המפוארת שהגבת נראה לי שאני מפקפק בזמן שאתה בתחום האבטחת מידע(7שנים).

יכול להיות שאני זוכר אותך עוד מ-fxp,
פעם בניתי איזה שיטה לפתור משוואות עד ממעלה עשירית בעזרת PHP וזילזלת בי,
אחרי כמה זמן שראית את הקוד כתוב ביקשת סליחה :)

אני לא זילזלתי בך ואני גם לא אזלזל,
התייחסתי לשאר ההודעה שכתבת - אמרתי לך שהבאג שאמרת תלוי בעיקר בשרת.

לך (הקונה) יש את הקוד מקור של האבטחה האבטחה!

הלקוח מאנקלד קובץ חיצוני כלשהוא שקשור לשרת שלך?

א. אני לא מוכר לך את האבטחה לאתר יחיד, אני מוכר לך את האבטחה + הפאנל שאתה תוכל למכור אבטחות לאנשים.
ב. הלקוח מאנקלד קובץ שהוא מקבל ממך, הקובץ הזה מאונקלד לאתר שלו ומתאמת לראות אם יש לו רישיון והכל.
אם יש לו רישיון הקובץ בסה"כ שולח פרטים לשרת חיצוני והשרת חיצוני מחזיר לו פרטים - זהו זה.

לא זכורה לי שום פונקציה כזאת וגם שום מקרה כזה, אתה כנראה מתבלבל עם מישהו אחר.

בכל מקרה, אחזור שוב,
לא משנה מה תעשה, זה פשוט בלתי אפשרי לעשות את מה שאתה מציג כאן ולהשיג איכות עבודה שבכלל מתקרבת לאיתור וטיפול נקודתי.

גם אם תהיה מתכנת 50 שנים ותתעסק באבטחה 38 שנים,
אני לא בא לזלזל בידע שלך ובמה שעשית,
ויש מקומות שלא היית מדוייק, גם הבחור שאיתו אתה רב כרגע ובעוד כמה תגובות שראיתי - אבל זה לא משנה, אני לא מגיב על מה שעשית כי לא ראיתי את הקוד, אני מגיב על איך שעשית את זה.
זה פשוט בלתי אפשרי להגיע לאותה רמת אבטחה בדרך הזאת.

תענה לי בוודאות על השאלה.
הלקוח שזה אני מאקנלד סוג קובץ חיצוני מהשרת שלך?
ראה דוגמא:
עובד בצורה הזאת?
כן או לא.

לא.

אז איך אתה מאמת את הפרטים של הלקוח(רשיון).

אתה מתעניין ברכישה?
אם לא, מה מהות השאלות?

מהות השאלה היא להסיר את הספק של הלקוחות..
במידה ויענה לי ואני אראה את דרך הבדיקה אפילו אמליץ על הבחור.
אבל לפי מה שאני רואה המערכת בעצמה חור אבטחה אחד גדול,
סתכל בתגובה הראשונה שלי באשכול הזה.

הוא חושב שהוא הכי חכם פה בכל הקהילה הזאתי,
אז הוא מרשה לעצמו "ללעוג" על אנשים אחרים.

אני נותן לך קובץ שהקובץ מתקשר בסה"כ עם קובץ על שרת אחר (לא דרך Include), הקובץ על השרת האחר עושה את כל הבקשות ואת כל האימותים והקובץ שלך הוא בסה"כ תקשורת שמנוהלת על ידי רישיון מוקצה.

הבנתי אותך,
לא הייתי לי שום כוונה ללעוג פשוט כל פעם ששאלתי אותך שאלה ענית על משהו אחר.
אני מתנצל אם פגעתי בך או בתמכור שלך עם המערכת פשוט זה היה לי די אבסורדי הקטע הזה.
שיהיה לך המשך לילה טוב..