אבטחת מערכת(לא פורום) - הוסטס

ASTeam · 19-03-07, 18:32

שלום
כרגע אני עובד על מערכת ניהול תוכן לאתרים
אך יש לי שאלה - כיצד אוכל לאבטח את המערכת מלבד שימוש בקוקיז?
תודה מראש..

(שאלה - כאשר אסיים לבנות את המערכת - האם מותר לי לפרסם אותה פה?)

~~ShoQER~~ · 19-03-07, 18:45

תלוי ממה אתה רוצה להגן...יש המון סוגי פריצות...

לדוגמא יש לך פריצה שנקראת "התקפת SQL"...
אותה אפשר למנוע בקלות ע"י שימוש בפונקציה Mysql_Real_Escape_String

קיימות עוד כמה וכמה סוגי פרצות שניתן למנוע אותן...איזה בדיוק אתה צריך?

ASTeam · 19-03-07, 19:01

פריצה למערכת עצמה
פריצה למסד הנתונים - ובכך משתנה הטקסט
הפלת האתר\DB
וזהו נראה לי....אני לא כלכך מבין באבטחה..במה עוד?

לגבי הפקודה שנתת לי - כיצד להשתמש בה
ומה זה התקפת SQL

תודה!!

Udi · 19-03-07, 19:32

ציטוט:

נכתב במקור על ידי Dr. Bleff

תלוי ממה אתה רוצה להגן...יש המון סוגי פריצות...

לדוגמא יש לך פריצה שנקראת "התקפת SQL"...
אותה אפשר למנוע בקלות ע"י שימוש בפונקציה Mysql_Real_Escape_String

קיימות עוד כמה וכמה סוגי פרצות שניתן למנוע אותן...איזה בדיוק אתה צריך?

הזרקת SQL, לא התקפה.

http://phpsec.org

BlueNosE · 19-03-07, 19:51

הזרקות XSS
שגיאות שרת ע"י GET שגוי עם פרטי FTP שמובילות לפריצות FTP

ASTeam · 19-03-07, 19:51

אתה יכול להסביר קצת על הזרקת SQL לפני שאני קורא?
תשובות לשאלותי הקדודמות?
תודה!

BlueNosE
אה?
לא הבנתי כלום..

BlueNosE · 19-03-07, 19:54

הזרקות XSS: כל מיני טקסטקים שמכניסים לטקסט בפורמט HTML כדי שהטקסט יצא לא ברור, מוזר, הורס את המסגרת או אפילו הורס את האתר או מפנה לאתר אחר ע"י סקריפט.
שגיאות GET: שגיאות שנגרמות ע"י הכנסה זדונית של קוד פגום לGET (כמו הכנסת ערך לא נאמרי בID).
הם מספקות מידע אודות הכתובת המלאה של האתר ולפעמים אודות מסד הנתונים.

ASTeam · 19-03-07, 19:56

אוקי, ואיך אני חוסם את אותם חורים שגורמים לכך?

WebProject · 19-03-07, 20:28

פשוט, הולך לכל מקום שבוא יש קלט שהמשתמש יכול להכניס, חוסם אותו עם פונקציות, לדוגמא אם הGET הוא בשביל ID, תשתמש בפונקציה intval, אם זה טקסט הנכנס למסד mysql_real_escape_string וכו'

ASTeam · 19-03-07, 20:33

זה הקטע...שאין למשתמש שהוא לא מנהל להכניס קלט....

19-03-07, 18:32	# 1
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אבטחת מערכת(לא פורום) שלום כרגע אני עובד על מערכת ניהול תוכן לאתרים אך יש לי שאלה - כיצד אוכל לאבטח את המערכת מלבד שימוש בקוקיז? תודה מראש.. (שאלה - כאשר אסיים לבנות את המערכת - האם מותר לי לפרסם אותה פה?) __________________

19-03-07, 19:01	# 3
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	פריצה למערכת עצמה פריצה למסד הנתונים - ובכך משתנה הטקסט הפלת האתר\DB וזהו נראה לי....אני לא כלכך מבין באבטחה..במה עוד? לגבי הפקודה שנתת לי - כיצד להשתמש בה ומה זה התקפת SQL תודה!! __________________

19-03-07, 19:51	# 5
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	הזרקות XSS שגיאות שרת ע"י GET שגוי עם פרטי FTP שמובילות לפריצות FTP __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

19-03-07, 19:51	# 6
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אתה יכול להסביר קצת על הזרקת SQL לפני שאני קורא? תשובות לשאלותי הקדודמות? תודה! BlueNosE אה? לא הבנתי כלום.. __________________

19-03-07, 19:54	# 7
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	הזרקות XSS: כל מיני טקסטקים שמכניסים לטקסט בפורמט HTML כדי שהטקסט יצא לא ברור, מוזר, הורס את המסגרת או אפילו הורס את האתר או מפנה לאתר אחר ע"י סקריפט. שגיאות GET: שגיאות שנגרמות ע"י הכנסה זדונית של קוד פגום לGET (כמו הכנסת ערך לא נאמרי בID). הם מספקות מידע אודות הכתובת המלאה של האתר ולפעמים אודות מסד הנתונים. __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-03-07, 18:45	# 2
~~ShoQER~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Dec 2006 מיקום: בית נרגילה P: גיל: 35 הודעות: 413	תלוי ממה אתה רוצה להגן...יש המון סוגי פריצות... לדוגמא יש לך פריצה שנקראת "התקפת SQL"... אותה אפשר למנוע בקלות ע"י שימוש בפונקציה Mysql_Real_Escape_String קיימות עוד כמה וכמה סוגי פרצות שניתן למנוע אותן...איזה בדיוק אתה צריך?

19-03-07, 19:56	# 8
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אוקי, ואיך אני חוסם את אותם חורים שגורמים לכך? __________________

19-03-07, 20:28	# 9
WebProject מ.תיכנות מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אשדוד הודעות: 3,070	פשוט, הולך לכל מקום שבוא יש קלט שהמשתמש יכול להכניס, חוסם אותו עם פונקציות, לדוגמא אם הGET הוא בשביל ID, תשתמש בפונקציה intval, אם זה טקסט הנכנס למסד mysql_real_escape_string וכו' __________________ כושר קרבי \ טיפים לגיבושים פורטל רעל - צבא וכושר קרבי

19-03-07, 20:33	# 10
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	זה הקטע...שאין למשתמש שהוא לא מנהל להכניס קלט.... __________________

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)