PHP | אבטחה. - הוסטס

ASTeam · 11-07-07, 10:29

** אני יודע שכבר נתתי אשכול לפני כמה חודשים בנושא, אבל עכשיו שאני יודע יותר מאז הייתי רוצה לפתוח שנית. **
ככה אני בונה מערכת CMS והיא לא מאובטחת בכלל....
אז החלטתי לאבטח אותה...

עברתי על מדריכים באינטרנט ומה שאמרתם לי אז(שלא הבנתי מילה וחצי..)
והגעתי לכך -
יש לאבטח GET - (במקרה שלי הוא רק מס') ע"י שימוש בintval
במקרה והוא טקסט אז לעשות עם באס במידה וגט = X אז אינקלוד X(לא היה לי כח לרשום..חח)
הגנה מפני זריקות SQL ו- JS - לגבי SQL זה mysql_escape_string() . השאלה היא איפה אני שם אותה?בהתחברות?בהצגה??
לגבי JS לא מצאתי כלום לגבי זה...ממש כלום...יש פונקציה או משהו כזה?
הגנה מפני קוד HTML(לא היה לי שם אחר..) - htmlspecialchars זהו?
הגנה מפני זריקות XSS - לא מצאתי כלום לגבי זה....רק עם העלאת תמונות..(במערכת העלאת תמונות יש לבדוק שזה באמת תמונה ולא טקסט..)
חסימת בוטים זדוניים, מנגנון נגד הצפנות ופינגים - כלום, כלום, כלום..(תאמתלא ידעתי מה לחפש ניסתי כל מיני אפשרויות ולא הוציא לי כלום...)

יש מצב שאתם עוזרים לי?
(לסיכום השאלות - לגבי ה-SQL|HTML|GET - מספיקה האבטחה שעשיתי?
לגבי JS|XSS|בוטים|פינגים|הצפנות - איך אני מאבטח?יש פונקציה?)

תודה רבה..
(אין צורך להביא קוד...רק פונקציה או תיאור כללי..)
אביחי

4ior · 11-07-07, 10:43

תראה לגבי האבטחה הראשונית, לא הבנתי מה אמרת שאם זה דף..
במקרה שזה דף אז אמורה להיות לך רשימה של דפים ואז אתה מחפש את הדף שם ואם הוא לא קיים אז תעשה משהו..

בקשר לדברים האחרים. איך לא מצאת?
XSS: http://sandsprite.com/Sleuth/papers/...rld_XSS_2.html
Brute Force: http://www.webhostgear.com/240.html
בקשר לבוטים אתה יכול לעשות תמונת אבטחה-שצריך להקליד את המספרים שבתמונה..
ובקשר לjavascript. תחשוב בהיגיון-מה javascript יכול לעשות?
נגיד יש לך input type="hidden" והvalue שם זה נגיד id של משהו או סיסמה או לא יודע מה.
מישהו רואה את זה בקוד מקור ופשוט משנה עם פונקציית Javascript פשוטה. תחסום דברים כאלה.

mlnn · 11-07-07, 10:50

אבטחה זה דבר פשוט.
כל קלט שאתה מקבל, תוודא שזה בדיוק מה שצריך.

**Daniel** · 11-07-07, 11:00

"הגנה מפני זריקות SQL ו- JS - לגבי SQL זה mysql_escape_string()"

ציטוט:

$_POST['string'] = mysql_real_escape_string($_POST['string']));

ASTeam · 11-07-07, 11:20

דניאל - אני יודע את זה..שאלתי אם יש עוד משהו..
mlnn - חח אבל איך עושים את זה?
ליאור תודה... לגבי הXSS איפה שותלים את זה...אפשר גם בושרת הכתובות?
מה זה - Brute Force ? באנגלית brute זה חייה, פרא..מה הקשר?כאילו מה הביטוי
לגבי JS ואיך אני חוסם את זה?אין פונקציה שתעזור לי?

תודה רבה..
לשאר הדברים?

Reality · 11-07-07, 11:36

ציטוט:

נכתב במקור על ידי ASTeam

דניאל - אני יודע את זה..שאלתי אם יש עוד משהו..
mlnn - חח אבל איך עושים את זה?
ליאור תודה... לגבי הXSS איפה שותלים את זה...אפשר גם בושרת הכתובות?
מה זה - Brute Force ? באנגלית brute זה חייה, פרא..מה הקשר?כאילו מה הביטוי
לגבי JS ואיך אני חוסם את זה?אין פונקציה שתעזור לי?

תודה רבה..
לשאר הדברים?

קח דוגמא למשל יש למישהו סיסמא 1234
כוח ברוטולי יבדוק את כל הסיסמאות מ 0000 עד 9999 למשל (אתה בוחר את הסיסמאות)
שיטת פריצה "טיפשה".

ASTeam · 11-07-07, 11:46

אוקי, תודה הבנתי..
אני לא רוצה לסטות מהנושא אבל במדריך שהובא נכתב שהוא מתאר פריצות נגד FTP וכמעט ולא נוגע במערכות ווב...
אז זה לא הכי רלוונטי..נכון?

**Daniel** · 11-07-07, 12:04

פשוט תבדוק, אם מישהו מתחבר יותר מ-5 פעמים וטועה, אז זה חוסם את ה-IP לרבע שעה.

ASTeam · 11-07-07, 12:06

דניאל תודה..כן חשבתי על זה אבל-
איך אני עושה את זה?(לגבי ההתחברויות)מלבד שימוש במסד..(או קוקיז..)..
מה לגבי שאר הדברים?
תודה מראש.

mlnn · 11-07-07, 20:09

אוקי אז ככה.
XSS:
זה בדרך כלל בתיבות חיפוש, שלאחר מכן אתה מציג: "תוצאות עבור X" כשX זאת המילה שחיפשת. עכשיו אם לא תוודא שהכניסו רק טקסט יוכלו להכניס גם תגי HTML ובסופו של דבר יכולו לעבוד על משתמש אחר ולגנוב לו את העוגיה.

הזרקות SQL:
כל מידע שאתה מקבל ומבצע שאילתה, לדוגמא בחיפוש או כשאתה בודק אם העוגיה נכונה. אז תבדוק שכל הנתונים האלו הם רק מספרים או רק אותיות ומספרים, ובלי כל שאר הדברים. ככה לא יכולו לדפוק לך את השאילתה.

ספאם:
הכי טוב תיצור את התמונה הזאת עם האותיות, שצריך להכניס ביד מה שכתוב. וזהו.
מישהו פה אמר משהו ברוט פורס, התמונה מגנה גם מזה.. [הרי צריך לראות את התמונה..].

פריצות FTP:
תשתמש בסיסמה קשה, כל השאר זה כבר אחריות של בעל השרת לשכור מתחזקים ומאבטחים שישמרו על מערכת עדכנית.

**העלאת קבצים:
אם אתה מעלה רק תמונות, יש לך פוקנציה לא רעה exif_imagetype.
אם זה שאר הקבצים, תבדוק קודם לפי סיומת.
בכל מקרה, תיצור תקייה שאליה כל הקבצים יועלו, ובתקייה בעזרת htaccess תחסום קבצי PHP, כך שגם אם יצליחו לעלות קובץ PHP לא יצליחו להפעיל אותו.

11-07-07, 10:29	# 1
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	PHP \| אבטחה. אני יודע שכבר נתתי אשכול לפני כמה חודשים בנושא, אבל עכשיו שאני יודע יותר מאז הייתי רוצה לפתוח שנית. ככה אני בונה מערכת CMS והיא לא מאובטחת בכלל.... אז החלטתי לאבטח אותה... עברתי על מדריכים באינטרנט ומה שאמרתם לי אז(שלא הבנתי מילה וחצי..) והגעתי לכך - יש לאבטח GET - (במקרה שלי הוא רק מס') ע"י שימוש בintval במקרה והוא טקסט אז לעשות עם באס במידה וגט = X אז אינקלוד X(לא היה לי כח לרשום..חח) הגנה מפני זריקות SQL ו- JS - לגבי SQL זה mysql_escape_string() . השאלה היא איפה אני שם אותה?בהתחברות?בהצגה?? לגבי JS לא מצאתי כלום לגבי זה...ממש כלום...יש פונקציה או משהו כזה? הגנה מפני קוד HTML(לא היה לי שם אחר..) - htmlspecialchars זהו? הגנה מפני זריקות XSS - לא מצאתי כלום לגבי זה....רק עם העלאת תמונות..(במערכת העלאת תמונות יש לבדוק שזה באמת תמונה ולא טקסט..) חסימת בוטים זדוניים, מנגנון נגד הצפנות ופינגים - כלום, כלום, כלום..(תאמתלא ידעתי מה לחפש ניסתי כל מיני אפשרויות ולא הוציא לי כלום...) יש מצב שאתם עוזרים לי? (לסיכום השאלות - לגבי ה-SQL\|HTML\|GET - מספיקה האבטחה שעשיתי? לגבי JS\|XSS\|בוטים\|פינגים\|הצפנות - איך אני מאבטח?יש פונקציה?) תודה רבה.. (אין צורך להביא קוד...רק פונקציה או תיאור כללי..) אביחי __________________

11-07-07, 10:50	# 3
mlnn משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בחדר של חני גיל: 34 הודעות: 4,417	אבטחה זה דבר פשוט. כל קלט שאתה מקבל, תוודא שזה בדיוק מה שצריך. __________________ . בחורות ערומות

11-07-07, 11:20	# 5
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	דניאל - אני יודע את זה..שאלתי אם יש עוד משהו.. mlnn - חח אבל איך עושים את זה? ליאור תודה... לגבי הXSS איפה שותלים את זה...אפשר גם בושרת הכתובות? מה זה - Brute Force ? באנגלית brute זה חייה, פרא..מה הקשר?כאילו מה הביטוי לגבי JS ואיך אני חוסם את זה?אין פונקציה שתעזור לי? תודה רבה.. לשאר הדברים? __________________

11-07-07, 11:46	# 7
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אוקי, תודה הבנתי.. אני לא רוצה לסטות מהנושא אבל במדריך שהובא נכתב שהוא מתאר פריצות נגד FTP וכמעט ולא נוגע במערכות ווב... אז זה לא הכי רלוונטי..נכון? __________________

11-07-07, 12:06	# 9
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	דניאל תודה..כן חשבתי על זה אבל- איך אני עושה את זה?(לגבי ההתחברויות)מלבד שימוש במסד..(או קוקיז..).. מה לגבי שאר הדברים? תודה מראש. __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

11-07-07, 10:43	# 2
4ior חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,451	תראה לגבי האבטחה הראשונית, לא הבנתי מה אמרת שאם זה דף.. במקרה שזה דף אז אמורה להיות לך רשימה של דפים ואז אתה מחפש את הדף שם ואם הוא לא קיים אז תעשה משהו.. בקשר לדברים האחרים. איך לא מצאת? XSS: http://sandsprite.com/Sleuth/papers/...rld_XSS_2.html Brute Force: http://www.webhostgear.com/240.html בקשר לבוטים אתה יכול לעשות תמונת אבטחה-שצריך להקליד את המספרים שבתמונה.. ובקשר לjavascript. תחשוב בהיגיון-מה javascript יכול לעשות? נגיד יש לך input type="hidden" והvalue שם זה נגיד id של משהו או סיסמה או לא יודע מה. מישהו רואה את זה בקוד מקור ופשוט משנה עם פונקציית Javascript פשוטה. תחסום דברים כאלה.

11-07-07, 12:04	# 8
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	פשוט תבדוק, אם מישהו מתחבר יותר מ-5 פעמים וטועה, אז זה חוסם את ה-IP לרבע שעה.

11-07-07, 20:09	# 10
mlnn משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בחדר של חני גיל: 34 הודעות: 4,417	אוקי אז ככה. XSS: זה בדרך כלל בתיבות חיפוש, שלאחר מכן אתה מציג: "תוצאות עבור X" כשX זאת המילה שחיפשת. עכשיו אם לא תוודא שהכניסו רק טקסט יוכלו להכניס גם תגי HTML ובסופו של דבר יכולו לעבוד על משתמש אחר ולגנוב לו את העוגיה. הזרקות SQL: כל מידע שאתה מקבל ומבצע שאילתה, לדוגמא בחיפוש או כשאתה בודק אם העוגיה נכונה. אז תבדוק שכל הנתונים האלו הם רק מספרים או רק אותיות ומספרים, ובלי כל שאר הדברים. ככה לא יכולו לדפוק לך את השאילתה. ספאם: הכי טוב תיצור את התמונה הזאת עם האותיות, שצריך להכניס ביד מה שכתוב. וזהו. מישהו פה אמר משהו ברוט פורס, התמונה מגנה גם מזה.. [הרי צריך לראות את התמונה..]. פריצות FTP: תשתמש בסיסמה קשה, כל השאר זה כבר אחריות של בעל השרת לשכור מתחזקים ומאבטחים שישמרו על מערכת עדכנית. *העלאת קבצים: אם אתה מעלה רק תמונות, יש לך פוקנציה לא רעה exif_imagetype. אם זה שאר הקבצים, תבדוק קודם לפי סיומת. בכל מקרה, תיצור תקייה שאליה כל הקבצים יועלו, ובתקייה בעזרת htaccess תחסום קבצי PHP, כך שגם אם יצליחו לעלות קובץ PHP לא יצליחו להפעיל אותו. __________________ . בחורות ערומות Last edited by mlnn; 11-07-07 at 20:13..*

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)