מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :)

[iniKey.com]

PacketSecurity

אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה,
פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד.

PacketSecurity היא אבטחה ברמה טיפה מתקדמת,
ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה!

אתם שואלים את עצמכם - איך?!
הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה",
השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL!

קודם כל - מה התכונות של האבטחה?

• SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה.
• Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה...
• Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure.
• Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות.
• Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר.
• XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים.
• Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים.
• Open Redirection - העברה לאתר אחר (לעיתים פישינג).
• Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים.

אוקי, עכשיו מה ברמה הניהולית:

• פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים.
• פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות.
• המנהל יכול לסגור את האתר או את הרשיון של הלקוח.
• נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!!
• המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן.

חשוב להרחיב למי שעדיין לא הבין כמה נקודות:
א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION.
ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו!

[eliran2313]

איך אני משלב אותה באתר שלי?

[iniKey.com]

כמו מה שאמרתי, תגיד include פשוטה - זה נשמע כמו אבטחה מעפנה אך שתצפה בקודים תבין שזה מעולם אחר.

[Liorl]

אשמח לדעתי איך קוראים לך , רז במקרה ?

[Tal.]

יישר כוח, חשבתי לבנות פעם כזאת אבל גיליתי שזה המון עבודה.
יש אתר שכבר עובד עם המערכת שנוכל לבדוק?

[בניה]

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

[איציק ברבי]

ציטוט:

נכתב במקור על ידי בניה

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

נכון,
אבטחה אמיתית היא אבטחה שאתה בטוח שהמידע המועבר בשרת נעבר רק ע"י השרת ולא ע"י גורם שלישי.
חיסרונות - איטיות, על סמך האחסון שהבחור יספק, אתם תוסיפו גם את הזמן תגובה של האחסון שלו ושלכם.
חור אבטחה אחד גדול במידה ועשיתם אינקלוד לקובץ אחר תגידו לי מה הבעיה שלו להזריק אל תוך האחסון קובץ שאלל כלשהוא?.
וכמו שהבחור מעלי אמר וכבר ציינתי זה יהיה באותה שיטה כמו MITM שנחשבת כיום למתקפה בין המסוכנות שקיימות.

לפותח האשכול - אני לא יודע מה הכוונה שלך,
בין אם היית תמים ובין אם לא.
דבר כזה לא מוכרים!
מערכת אבטחה תשב אך ורק על השרת שלי,
במידה ולא תהיה בטוח שאתה מוכר כאן לאנשים חתול בשק(בין אם רצית בכך ובין אם לא).
אפילו אם אותם בחורים סומכים עליך וחתמתם על חוזה אז מה יקרה אם האחסון שיש בידך יפול לידיים זדוניות? חשבת על זה?
תחשוב על כל התוצאות נשמה..
אני גם בניתי מערכת אבטחה ותימכרתי אותה אבל לא עבדתי בצורה שלך.
שאתה מוכר אבטחה תמכור את כולה ולא חלקית.

אני מקווה שתבין את הטעויות שלך אבל בעל אתר,עסק או כל אתם שיקנה ממך את המערכת לא ירשה לכזה דבר.

לילה טוב,
איציק.

[iniKey.com]

ציטוט:

נכתב במקור על ידי בניה

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

ציטוט:

נכתב במקור על ידי Echo

נכון,
אבטחה אמיתית היא אבטחה שאתה בטוח שהמידע המועבר בשרת נעבר רק ע"י השרת ולא ע"י גורם שלישי.
חיסרונות - איטיות, על סמך האחסון שהבחור יספק, אתם תוסיפו גם את הזמן תגובה של האחסון שלו ושלכם.
חור אבטחה אחד גדול במידה ועשיתם אינקלוד לקובץ אחר תגידו לי מה הבעיה שלו להזריק אל תוך האחסון קובץ שאלל כלשהוא?.
וכמו שהבחור מעלי אמר וכבר ציינתי זה יהיה באותה שיטה כמו MITM שנחשבת כיום למתקפה בין המסוכנות שקיימות.

לפותח האשכול - אני לא יודע מה הכוונה שלך,
בין אם היית תמים ובין אם לא.
דבר כזה לא מוכרים!
מערכת אבטחה תשב אך ורק על השרת שלי,
במידה ולא תהיה בטוח שאתה מוכר כאן לאנשים חתול בשק.
אפילו אם אותם בחורים סומכים עליך וחתמתם על חוזה אז מה יקרה אם האחסון שיש בידך יפול לידיים לא זדוניות? חשבת על זה?
תחשוב על כל התוצאות נשמה..
אני גם בניתי מערכת אבטחה ותימכרתי אותה אבל לא עבדתי בצורה שלך.
שאתה מוכר אבטחה תמכור את כולה ולא חלקית.

אני מקווה שתבין את הטעויות שלך אבל בעל אתר,עסק או כל אתם שיקנה ממך את המערכת לא ירשה לכזה דבר.

לילה טוב,
איציק.

לא הבהרתי את עצמי טוב, סליחה.
אם אתה קונה ממני את מערכת האבטחה - אתה קונה את כל הפאנל,
ואתה יכול למכור אבטחות על פי תשלום חודשי גם, כי תוך שניה אתה יכול לבטל את האבטחה מרחוק...

הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....

MITM? אתה יודע בכלל מה זה?
זה אם אני ואתה על אותו נתב ראוטר, אני יכול לדעת את הפאקטים שנשלחים בפעולה, אין לזה הגנה ממש חוץ מהצפנה בראוטר.

קובץ SHELL? אם הוא פרץ לך לאחסון ושם לך SHELL זה כבר אבטחת שרת...

[איציק ברבי]

ציטוט:

נכתב במקור על ידי abshipping

לא הבהרתי את עצמי טוב, סליחה.
אם אתה קונה ממני את מערכת האבטחה - אתה קונה את כל הפאנל,
ואתה יכול למכור אבטחות על פי תשלום חודשי גם, כי תוך שניה אתה יכול לבטל את האבטחה מרחוק...

הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....

MITM? אתה יודע בכלל מה זה?
זה אם אני ואתה על אותו נתב ראוטר, אני יכול לדעת את הפאקטים שנשלחים בפעולה, אין לזה הגנה ממש חוץ מהצפנה בראוטר.

קובץ SHELL? אם הוא פרץ לך לאחסון ושם לך SHELL זה כבר אבטחת שרת...

סליחה?! אתה מזלזל בידע שלי או שנדמה לי?!
זה שאתה מפזר מילים בשטח כמו "הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....
מאיפה לנו לדעת את זה? אחרי הכל אנחנו לא יודעים את התוכן של הקובץ שאנחנו מאנקלדים לשרת.
MITM - אני לא יודע מה זה?
אני אמרתי שזה פועל באותו סגנון שכל התעבורה עוברת ע"י צד שלישי ואגב זה לא הצפנה בראוטר זה SSL תקרא על זה.

ולמה לא התייחסת לשאר ההודעה שכתבתי?
לזה שאתה מוכר חור אבטחה אחד גדול בעצמך.
תתייחס לזה ואל תתייחס רק למה שאתה רוצה.

ובעקבות התגובה המפוארת שהגבת נראה לי שאני מפקפק בזמן שאתה בתחום האבטחת מידע(7שנים).

[Perfect]

מה המחיר?