מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :)
 

אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה,
פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד.

PacketSecurity היא אבטחה ברמה טיפה מתקדמת,
ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה!

אתם שואלים את עצמכם - איך?!
הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה",
השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL!

קודם כל - מה התכונות של האבטחה?

• SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה.
• Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה...
• Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure.
• Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות.
• Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר.
• XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים.
• Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים.
• Open Redirection - העברה לאתר אחר (לעיתים פישינג).
• Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים.

אוקי, עכשיו מה ברמה הניהולית:

• פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים.
• פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות.
• המנהל יכול לסגור את האתר או את הרשיון של הלקוח.
• נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!!
• המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן.

חשוב להרחיב למי שעדיין לא הבין כמה נקודות:
א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION.
ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו!

איך אני משלב אותה באתר שלי?

כמו מה שאמרתי, תגיד include פשוטה - זה נשמע כמו אבטחה מעפנה אך שתצפה בקודים תבין שזה מעולם אחר.

אשמח לדעתי איך קוראים לך , רז במקרה ?

יישר כוח, חשבתי לבנות פעם כזאת אבל גיליתי שזה המון עבודה.
יש אתר שכבר עובד עם המערכת שנוכל לבדוק?

מה המחיר?

היי,

אני אשמח לדעת איך ע"י include של קובץ אתה יכול להגן בפני התקפות ddos? כנ"ל XSS.

לא רז, קוראים לי דוד.

בתהליך, אני צריך לחפש קודם כל אחסון טוב :)

500 שקל - אתה מקבל את הכל (הפאנל, ההסברים הכל!).
האבטחה הזאת גם יכולה להמחר בתשלום חודשי ולא בחד-פעמי!

Tomer - האבטחה שלי לא מגנה מפני DDOS דרך השרת, אם אתה מתקיף את השרת אתה יכול להפיל אותו, אבל האבטחה שלי מגנה מDDOS דרך האתר - היא משתמשת בקוד שאם אתה מעוניין לפרסם תגובה - אתה חייב לפרסם אותה מהדפדפן (ולא דרך BOT שבנית דרך PERL\C וכדומה...)

איך היא יכולה להגן על XSS דרך Include? למה אתה לא שואל אל זה גם על SQL Injection, RFI, LFI, וכל החסימות האחרות שציינתי פה?!
ובכן, התשובה הזאת נמצאת אך ורק בקוד של המערכת.

אפשר לזייף בקשה של דפדפן ממש בקלות. אין לך באמת דרך לדעת.

אם אתה רוצה, אני יכול לשאול גם לגבי האחרים... מצטער שאני סקפטי, אבל שאר המערכות 'אבטחה' שאנשים שונים ניסו למכור בפורום לא היו מי יודע מה (בלשון המעטה) והוצגו בדיוק כמו שאתה מציג את שלך.