|
בעקבות הפריצות של הטורקים כיום.
שלום , אני מתכנת ב PHP כבר כמה חודשים , ונתקלתי השבוע ביותר ממאה אתרים פרוצים וכולם היו מתוכנתים ב PHP משום מה , עכשיו אני חושש מפריצה לאתרים שלי לכן אני רוצה לעבור ל ASP.NET ויש לי כמה שאלות.
אז איזה סגנון קוד נחשב לפרוץ יותר כיום ? PHP או ASP.NET אמרו לי ש ASP.NET הוא קוד "סגור" והוא שולח את הפרטים בקובץ DLL מוצפן אז זה יותר בטוח מPHP. קיצר , מה נחשב ליותר פרוץ היום ובאיזה פריצת קודים האקרים מתעניינים היום יותר. תודה. |
כל האתרים של מייקרוסופט נפרצו,
והם בטוח לא ב php, אני אישית מעדיף php, מבחינת האבטחה בשני המקרים רמת האבטחה תלויה במתכנת. |
עם השיטה שהם עובדים הם לא פורצים לך את האתר בגלל הסקריפטים שיש לך שם או בגלל איך שכתבת אותם (למרות שגם זה יכול להיות חור באבטחה XSS, SQL-Injection ועוד... )
מה שהם עושים לפי מה שראיתי על כמה וכמה אתרים הם מעלים קובץ index.html בודד והתמונות שיש עליו הם משרתים רחוקים ולא תמונות שהעלו על אותו השרת. המידה וב .htaccess לא מוגדר איזה דף ראשי יעלה אז העדיפות ל index.html יותר גבוהה מאשר index.php ככה שהאתר יישאר לך כמו שהיה אבל פשוט בעמוד שיראו זה ה-index.html או htm בפתיחת האתר יש אופציה למנוע זאת הוסף לקובץ .htaccess את השורה הבאה DirectoryIndex index.php index.html index.htm index.shtml ראה כאן http://www.twsc.biz/twsc_hosting_htaccess.php ועוד משהו שעליך לעשות.... את קובץ ה- index.php תן לו הרשאות לקריאה בלבד בכדי שלא ישנו לך אותו במידה והפעילו משהו או עקפו משהו (CHMOD 444 או 555 לדוגמא).... היה פעם חור כזה בשרתי IIS גם כנראה שעלו על משהו יותר חדשני צריך לבדוק זאת... ותעשה עדכונים לשרת עדיף מאשר לעבור שפת תכנות ולשנות את כל מה שבנית תחסוך הרבה יותר כאבי ראש |
תודה עם ההסבר .
אבל לי עדיין לא פרצו. השאלה שלי כעיקרון היא איזו שפה נחשבת יותר מאובטחת? ASP.net היא קוד "סגור" והיא נשלחת ללקוח כקובץ DLL מוצפן אז זה יותר מאובטח טיפה מPHP לא? (אם שמים את רמת האבטחה של המתכנת בצד). תודה. |
מיקרוסופט אכן מתכנתים בASP.NET כי זה שפה שהם פיתחו אבל שימו לב שלא פרצו לשרתי מיקרוסופט פרצו לשרתי ניתובים של הדומיין.. ASP באמת קצת יותר חזקה באבטחה אבל שוב הכל תלוי ברמה שבה המתכנת בונה ובשיטות ההצפנה וכמובן מרכיב מאוד חשוב זה הרמה שבה השרת מאובטח כי יש לזה השפעה רבה..
|
אין הבדל בין ASP ל-PHP ברמת האבטחה, שתיהן מערכות מתקדמות ומאובטחות.
יש המון דרכים למנוע מאתר לעבוד, בין אם זה לפרוץ לשרת איחסון שיתופי, ולעשות נזק ל-300 אתרים(דיי מסובך), או להתקיף את שרתי ה-DNS(מה שקורה ברגעים אלה ב-Zoneedit), לגלות את הסיסמה לניהול הדומיין ולשנות את שרתי ה-DNS(או לפרוץ לשרתי ה-DNS). עוד שיטה שתוקפת הרבה אתרים בזמן האחרון, וירוס שמותקן במחשב הלקוח אוגר את חשבונות ה-FTP ששמורות במחשב, ולאחר מכן, רובוטים מסין/רוסיה פורצים לחשבון ומחליפים את קובץ האינדקס. אבי |
השפת תיכנות לא קשורה בעליל.
הכל תלוי במתכנת של האתר . SQL INJ או RFI או עוד כמה אחרים זה הכל טעיות שהמתכנת עצמו עשה. אם אתה מפחד או משהו אני יכול לעבור לך על כמה אתרים ולתת לך חוות דעת . אם יש פירצה או לא |
לרוב הפרצה לא ברמה של הקוד שלך.. אלא ברמה של השרת כולו
(כשאתה מאחסן בארץ לפחות) |
לי פרצו לשלושה אתרים באחסון, כולם פורמי PHP או שמתוכנתים ב PHP
|
הפריצה ברמת הקוד
ברוב המוחלט של המקרים של פריצות Deface הפריצה היא לא ברמת השפה (כך שזה לא משנה אם זה ASP או PHP), ולא ברמת השרת (לאנשים שפורצים לשרתים לרוב יש מטרות יותר ארוכות טווח מסתם דיפייס).
דיפייס זו לרוב תוצאה של פריצה פשוטה יחסית ברמת הקוד - SQL Injection, XSS, וכו', או ברוט-פורס על סיסמאת ה-FTP (כי לעיתים יותר מדי קרובות וובאדמינס משתמשים בסיסמאות פשוטות מדי). |
| כל הזמנים הם GMT +2. הזמן כעת הוא 23:51. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ