בעקבות הפריצות של הטורקים כיום. - הוסטס

morsrh · 13-06-10, 22:11

שלום , אני מתכנת ב PHP כבר כמה חודשים , ונתקלתי השבוע ביותר ממאה אתרים פרוצים וכולם היו מתוכנתים ב PHP משום מה , עכשיו אני חושש מפריצה לאתרים שלי לכן אני רוצה לעבור ל ASP.NET ויש לי כמה שאלות.

אז איזה סגנון קוד נחשב לפרוץ יותר כיום ?
PHP
או
ASP.NET

אמרו לי ש ASP.NET הוא קוד "סגור" והוא שולח את הפרטים בקובץ DLL מוצפן אז זה יותר בטוח מPHP.
קיצר , מה נחשב ליותר פרוץ היום ובאיזה פריצת קודים האקרים מתעניינים היום יותר.
תודה.

רומן · 13-06-10, 22:42

כל האתרים של מייקרוסופט נפרצו,
והם בטוח לא ב php,
אני אישית מעדיף php, מבחינת האבטחה בשני המקרים רמת האבטחה תלויה במתכנת.

xoox · 13-06-10, 22:47

עם השיטה שהם עובדים הם לא פורצים לך את האתר בגלל הסקריפטים שיש לך שם או בגלל איך שכתבת אותם (למרות שגם זה יכול להיות חור באבטחה XSS, SQL-Injection ועוד... )

מה שהם עושים לפי מה שראיתי על כמה וכמה אתרים הם מעלים קובץ index.html בודד והתמונות שיש עליו הם משרתים רחוקים ולא תמונות שהעלו על אותו השרת.
המידה וב .htaccess לא מוגדר איזה דף ראשי יעלה אז העדיפות ל index.html יותר גבוהה מאשר index.php
ככה שהאתר יישאר לך כמו שהיה אבל פשוט בעמוד שיראו זה ה-index.html או htm בפתיחת האתר

יש אופציה למנוע זאת
הוסף לקובץ .htaccess את השורה הבאה
DirectoryIndex index.php index.html index.htm index.shtml

ראה כאן
http://www.twsc.biz/twsc_hosting_htaccess.php

ועוד משהו שעליך לעשות....
את קובץ ה- index.php תן לו הרשאות לקריאה בלבד בכדי שלא ישנו לך אותו במידה והפעילו משהו או עקפו משהו
(CHMOD 444 או 555 לדוגמא)....

היה פעם חור כזה בשרתי IIS גם כנראה שעלו על משהו יותר חדשני צריך לבדוק זאת...
ותעשה עדכונים לשרת עדיף מאשר לעבור שפת תכנות ולשנות את כל מה שבנית תחסוך הרבה יותר כאבי ראש

morsrh · 13-06-10, 22:53

תודה עם ההסבר .
אבל לי עדיין לא פרצו.
השאלה שלי כעיקרון היא איזו שפה נחשבת יותר מאובטחת? ASP.net היא קוד "סגור" והיא נשלחת ללקוח כקובץ DLL מוצפן אז זה יותר מאובטח טיפה מPHP לא? (אם שמים את רמת האבטחה של המתכנת בצד).
תודה.

orelcn · 14-06-10, 11:32

מיקרוסופט אכן מתכנתים בASP.NET כי זה שפה שהם פיתחו אבל שימו לב שלא פרצו לשרתי מיקרוסופט פרצו לשרתי ניתובים של הדומיין.. ASP באמת קצת יותר חזקה באבטחה אבל שוב הכל תלוי ברמה שבה המתכנת בונה ובשיטות ההצפנה וכמובן מרכיב מאוד חשוב זה הרמה שבה השרת מאובטח כי יש לזה השפעה רבה..

Kernel · 14-06-10, 14:07

אין הבדל בין ASP ל-PHP ברמת האבטחה, שתיהן מערכות מתקדמות ומאובטחות.

יש המון דרכים למנוע מאתר לעבוד,
בין אם זה לפרוץ לשרת איחסון שיתופי, ולעשות נזק ל-300 אתרים(דיי מסובך),
או להתקיף את שרתי ה-DNS(מה שקורה ברגעים אלה ב-Zoneedit),
לגלות את הסיסמה לניהול הדומיין ולשנות את שרתי ה-DNS(או לפרוץ לשרתי ה-DNS).

עוד שיטה שתוקפת הרבה אתרים בזמן האחרון, וירוס שמותקן במחשב הלקוח אוגר את חשבונות ה-FTP ששמורות במחשב, ולאחר מכן, רובוטים מסין/רוסיה פורצים לחשבון ומחליפים את קובץ האינדקס.

אבי

shay12 · 16-06-10, 08:01

השפת תיכנות לא קשורה בעליל.
הכל תלוי במתכנת של האתר .

SQL INJ או RFI או עוד כמה אחרים
זה הכל טעיות שהמתכנת עצמו עשה. אם אתה מפחד או משהו אני יכול לעבור לך על כמה אתרים
ולתת לך חוות דעת . אם יש פירצה או לא

intercooler3819 · 16-06-10, 15:39

לרוב הפרצה לא ברמה של הקוד שלך.. אלא ברמה של השרת כולו

(כשאתה מאחסן בארץ לפחות)

talsela87 · 16-06-10, 16:13

לי פרצו לשלושה אתרים באחסון, כולם פורמי PHP או שמתוכנתים ב PHP

HostDime-Ariel · 16-06-10, 16:39

ברוב המוחלט של המקרים של פריצות Deface הפריצה היא לא ברמת השפה (כך שזה לא משנה אם זה ASP או PHP), ולא ברמת השרת (לאנשים שפורצים לשרתים לרוב יש מטרות יותר ארוכות טווח מסתם דיפייס).

דיפייס זו לרוב תוצאה של פריצה פשוטה יחסית ברמת הקוד - SQL Injection, XSS, וכו', או ברוט-פורס על סיסמאת ה-FTP (כי לעיתים יותר מדי קרובות וובאדמינס משתמשים בסיסמאות פשוטות מדי).

13-06-10, 22:11	# 1
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 29 הודעות: 444	בעקבות הפריצות של הטורקים כיום. שלום , אני מתכנת ב PHP כבר כמה חודשים , ונתקלתי השבוע ביותר ממאה אתרים פרוצים וכולם היו מתוכנתים ב PHP משום מה , עכשיו אני חושש מפריצה לאתרים שלי לכן אני רוצה לעבור ל ASP.NET ויש לי כמה שאלות. אז איזה סגנון קוד נחשב לפרוץ יותר כיום ? PHP או ASP.NET אמרו לי ש ASP.NET הוא קוד "סגור" והוא שולח את הפרטים בקובץ DLL מוצפן אז זה יותר בטוח מPHP. קיצר , מה נחשב ליותר פרוץ היום ובאיזה פריצת קודים האקרים מתעניינים היום יותר. תודה.

13-06-10, 22:42	# 2
רומן חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2005 מיקום: באר שבע גיל: 36 הודעות: 405	כל האתרים של מייקרוסופט נפרצו, והם בטוח לא ב php, אני אישית מעדיף php, מבחינת האבטחה בשני המקרים רמת האבטחה תלויה במתכנת. __________________ משחק דפדפן משחקי דפדפן משחק דפדפן משחקי דפדפןמשחק דפדפן

13-06-10, 22:47	# 3
xoox עסק רשום [?] מיני פרופיל תאריך הצטרפות: Aug 2007 מיקום: תל אביב גיל: 41 הודעות: 766	עם השיטה שהם עובדים הם לא פורצים לך את האתר בגלל הסקריפטים שיש לך שם או בגלל איך שכתבת אותם (למרות שגם זה יכול להיות חור באבטחה XSS, SQL-Injection ועוד... ) מה שהם עושים לפי מה שראיתי על כמה וכמה אתרים הם מעלים קובץ index.html בודד והתמונות שיש עליו הם משרתים רחוקים ולא תמונות שהעלו על אותו השרת. המידה וב .htaccess לא מוגדר איזה דף ראשי יעלה אז העדיפות ל index.html יותר גבוהה מאשר index.php ככה שהאתר יישאר לך כמו שהיה אבל פשוט בעמוד שיראו זה ה-index.html או htm בפתיחת האתר יש אופציה למנוע זאת הוסף לקובץ .htaccess את השורה הבאה DirectoryIndex index.php index.html index.htm index.shtml ראה כאן http://www.twsc.biz/twsc_hosting_htaccess.php ועוד משהו שעליך לעשות.... את קובץ ה- index.php תן לו הרשאות לקריאה בלבד בכדי שלא ישנו לך אותו במידה והפעילו משהו או עקפו משהו (CHMOD 444 או 555 לדוגמא).... היה פעם חור כזה בשרתי IIS גם כנראה שעלו על משהו יותר חדשני צריך לבדוק זאת... ותעשה עדכונים לשרת עדיף מאשר לעבור שפת תכנות ולשנות את כל מה שבנית תחסוך הרבה יותר כאבי ראש __________________ וותק של 10 שנים? יש חשש!!! XooX, XoX, מבזקי חדשות, משחקים, משחקי פלאש. - מעוניין להחליף קישורים? שלח הודעה פרטית.

14-06-10, 14:07	# 6
Kernel אושיית הוסטינג מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	אין הבדל בין ASP ל-PHP ברמת האבטחה, שתיהן מערכות מתקדמות ומאובטחות. יש המון דרכים למנוע מאתר לעבוד, בין אם זה לפרוץ לשרת איחסון שיתופי, ולעשות נזק ל-300 אתרים(דיי מסובך), או להתקיף את שרתי ה-DNS(מה שקורה ברגעים אלה ב-Zoneedit), לגלות את הסיסמה לניהול הדומיין ולשנות את שרתי ה-DNS(או לפרוץ לשרתי ה-DNS). עוד שיטה שתוקפת הרבה אתרים בזמן האחרון, וירוס שמותקן במחשב הלקוח אוגר את חשבונות ה-FTP ששמורות במחשב, ולאחר מכן, רובוטים מסין/רוסיה פורצים לחשבון ומחליפים את קובץ האינדקס. אבי __________________ אבי

16-06-10, 15:39	# 8
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	לרוב הפרצה לא ברמה של הקוד שלך.. אלא ברמה של השרת כולו (כשאתה מאחסן בארץ לפחות) __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-06-10, 22:53	# 4
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 29 הודעות: 444	תודה עם ההסבר . אבל לי עדיין לא פרצו. השאלה שלי כעיקרון היא איזו שפה נחשבת יותר מאובטחת? ASP.net היא קוד "סגור" והיא נשלחת ללקוח כקובץ DLL מוצפן אז זה יותר מאובטח טיפה מPHP לא? (אם שמים את רמת האבטחה של המתכנת בצד). תודה.

14-06-10, 11:32	# 5
orelcn חבר בקהילה מיני פרופיל תאריך הצטרפות: Jun 2007 מיקום: ירושלים הודעות: 60	מיקרוסופט אכן מתכנתים בASP.NET כי זה שפה שהם פיתחו אבל שימו לב שלא פרצו לשרתי מיקרוסופט פרצו לשרתי ניתובים של הדומיין.. ASP באמת קצת יותר חזקה באבטחה אבל שוב הכל תלוי ברמה שבה המתכנת בונה ובשיטות ההצפנה וכמובן מרכיב מאוד חשוב זה הרמה שבה השרת מאובטח כי יש לזה השפעה רבה..

16-06-10, 08:01	# 7
shay12 חבר בקהילה מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 73	השפת תיכנות לא קשורה בעליל. הכל תלוי במתכנת של האתר . SQL INJ או RFI או עוד כמה אחרים זה הכל טעיות שהמתכנת עצמו עשה. אם אתה מפחד או משהו אני יכול לעבור לך על כמה אתרים ולתת לך חוות דעת . אם יש פירצה או לא

16-06-10, 16:13	# 9
talsela87 חבר וותיק מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 1,177	לי פרצו לשלושה אתרים באחסון, כולם פורמי PHP או שמתוכנתים ב PHP __________________ משחקי מחשב

16-06-10, 16:39	# 10
HostDime-Ariel חבר חדש מיני פרופיל תאריך הצטרפות: Jun 2010 הודעות: 27	הפריצה ברמת הקוד ברוב המוחלט של המקרים של פריצות Deface הפריצה היא לא ברמת השפה (כך שזה לא משנה אם זה ASP או PHP), ולא ברמת השרת (לאנשים שפורצים לשרתים לרוב יש מטרות יותר ארוכות טווח מסתם דיפייס). דיפייס זו לרוב תוצאה של פריצה פשוטה יחסית ברמת הקוד - SQL Injection, XSS, וכו', או ברוט-פורס על סיסמאת ה-FTP (כי לעיתים יותר מדי קרובות וובאדמינס משתמשים בסיסמאות פשוטות מדי). __________________ Ariel G. - Linux Level-3 & Microsoft Certified Engineer - הוסטדאיים ישראל - HostDime Israel LTD - אחסון אתרים, VPS, ושרתים יעודיים.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)