|
אוקי אז ככה.
XSS:
זה בדרך כלל בתיבות חיפוש, שלאחר מכן אתה מציג: "תוצאות עבור X" כשX זאת המילה שחיפשת. עכשיו אם לא תוודא שהכניסו רק טקסט יוכלו להכניס גם תגי HTML ובסופו של דבר יכולו לעבוד על משתמש אחר ולגנוב לו את העוגיה.
הזרקות SQL:
כל מידע שאתה מקבל ומבצע שאילתה, לדוגמא בחיפוש או כשאתה בודק אם העוגיה נכונה. אז תבדוק שכל הנתונים האלו הם רק מספרים או רק אותיות ומספרים, ובלי כל שאר הדברים. ככה לא יכולו לדפוק לך את השאילתה.
ספאם:
הכי טוב תיצור את התמונה הזאת עם האותיות, שצריך להכניס ביד מה שכתוב. וזהו.
מישהו פה אמר משהו ברוט פורס, התמונה מגנה גם מזה.. [הרי צריך לראות את התמונה..].
פריצות FTP:
תשתמש בסיסמה קשה, כל השאר זה כבר אחריות של בעל השרת לשכור מתחזקים ומאבטחים שישמרו על מערכת עדכנית.
**העלאת קבצים:
אם אתה מעלה רק תמונות, יש לך פוקנציה לא רעה exif_imagetype.
אם זה שאר הקבצים, תבדוק קודם לפי סיומת.
בכל מקרה, תיצור תקייה שאליה כל הקבצים יועלו, ובתקייה בעזרת htaccess תחסום קבצי PHP, כך שגם אם יצליחו לעלות קובץ PHP לא יצליחו להפעיל אותו.
Last edited by mlnn; 11-07-07 at 20:13..
|