עזרה = איך מתגוננים מפני הזרקות ומפני אקספלוטים - הוסטס

stel222 · 13-06-08, 13:51

בכל הטפסים אני עושה את הפונקציה mysql_real_escape_string ובחיבור למסד אני עושה ע"י משתנים מה אני עוד יכול לעשות על מנת לאבטח נגד ההזרקות
ומה עושים נגד אקספלויטים ?

daMn · 13-06-08, 13:58

אין פקודת קסם שתעשה אותה ותמנע הזרקות ואקספלויטים.
אבטחת מידע זה תחום מסובך ומורכב, יש הזרקות ואקפלויסטים בהרבה מאוד דרכים, כמו שיש אינסוף שיטות התקפה על שרת.
מה שכן, תחפש בגוגל מאמרים של אבטחת מידע בPHP בסיסיים.
הנה אחד נחמד:
http://www.underwar.co.il/document-details.asp?id=264

stel222 · 13-06-08, 13:59

תודה אבל המאמאר הזה מלמדים איך לפרוץ ולא איך להתגונן

Ron | CSite.co.il · 13-06-08, 14:15

ציטוט:

נכתב במקור על ידי stel222

תודה אבל המאמאר הזה מלמדים איך לפרוץ ולא איך להתגונן

הדרך הטובה ביותר לדעת להתגונן - היא לדעת איך לפרוץ.
הרי שאתה יודע איך לפרוץ אתה גם מבין איך חוסמים את זה.

אגב,
בכל פלט מהמשתמש תמיד תבדוק אם קיבלת בדיוק מה שרצית,
לדוגמא:
רצית לקבל מספר חיובי כלשהו (בשדה טקסט),תבדוק שזה בדיוק מה שקיבלת,
רצית לקבל בתיבת בחירה את הערכים 1-5 ,תבדוק שקיבלת אותם,אל תסתמך על כך שבתיבת select ניתן לבחור רק 1-5,כי ניתן לשלוח טופס html משרת מרוחק אל השרת שלך(כלומר להפנות אותו אל הדף שלך).

mlnn · 13-06-08, 14:45

קודם כל, אקספלוייט זאת לא "דרך פריצה" אלא פשוט קוד שמקצר את העבודה הידנית בניצול חור אבטחה כלשהו. אז אתה לא מתגונן "נגד אקספלוייטים".

בקשר למערכת, תוודא שמה שאתה מקבל זה מה שאתה מצפה לקבל, ואם לא, תחזיר שגיאה. אם תכסה את כל האפשרויות המערכת שלך מוגנת.
בשביל לאבטח את השרת אתה צריך גישה לשרת. ותסתובב בפורומים של הדברים שרצים לך על השרת ותסתכל בבאגים נפוצים והדרכים לתיקון, בטוח יש שם אשכולות עם המלצות לאבטחה יותר טובה.

**Daniel** · 13-06-08, 15:42

יש לי 12 שורות במערכת שמסכמות את כל האבטחה נגד SQL INECTIONS.

יש לי עוד קובץ של 40K שמסכם לי את כל האבטחה בטפסים,

ובאמת שאם מישהו יכניס לי ב-ID שלו כאשר יחפש נושא כלשהו, אות - אני גם לא אציג לו הודעת שגיאה - ואפילו לא אבדוק אם זה רק מספרים. למה? כי שיכניס אותיות - זה לא ימצא לו תוצאות.

אני עובד על error_reporting של E_ALL, ואין שום שגיאה!

אם תבנה מההתחלה נכון(ו-OOP יארגן לך את הקוד יותר), לא רק פחות שורות של קוד, ולא רק יותר יעילות ולא רק יותר אבטחה - אלא גם לך - יהיה יותר קל לתכנת.

13-06-08, 13:51	# 1
stel222 חבר מתקדם מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 399	עזרה = איך מתגוננים מפני הזרקות ומפני אקספלוטים בכל הטפסים אני עושה את הפונקציה mysql_real_escape_string ובחיבור למסד אני עושה ע"י משתנים מה אני עוד יכול לעשות על מנת לאבטח נגד ההזרקות ומה עושים נגד אקספלויטים ?

13-06-08, 13:58	# 2
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	אין פקודת קסם שתעשה אותה ותמנע הזרקות ואקספלויטים. אבטחת מידע זה תחום מסובך ומורכב, יש הזרקות ואקפלויסטים בהרבה מאוד דרכים, כמו שיש אינסוף שיטות התקפה על שרת. מה שכן, תחפש בגוגל מאמרים של אבטחת מידע בPHP בסיסיים. הנה אחד נחמד: http://www.underwar.co.il/document-details.asp?id=264 __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)

13-06-08, 14:45	# 5
mlnn משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בחדר של חני גיל: 35 הודעות: 4,417	קודם כל, אקספלוייט זאת לא "דרך פריצה" אלא פשוט קוד שמקצר את העבודה הידנית בניצול חור אבטחה כלשהו. אז אתה לא מתגונן "נגד אקספלוייטים". בקשר למערכת, תוודא שמה שאתה מקבל זה מה שאתה מצפה לקבל, ואם לא, תחזיר שגיאה. אם תכסה את כל האפשרויות המערכת שלך מוגנת. בשביל לאבטח את השרת אתה צריך גישה לשרת. ותסתובב בפורומים של הדברים שרצים לך על השרת ותסתכל בבאגים נפוצים והדרכים לתיקון, בטוח יש שם אשכולות עם המלצות לאבטחה יותר טובה. __________________ . בחורות ערומות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-06-08, 13:59	# 3
stel222 חבר מתקדם מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 399	תודה אבל המאמאר הזה מלמדים איך לפרוץ ולא איך להתגונן

13-06-08, 15:42	# 6
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	יש לי 12 שורות במערכת שמסכמות את כל האבטחה נגד SQL INECTIONS. יש לי עוד קובץ של 40K שמסכם לי את כל האבטחה בטפסים, ובאמת שאם מישהו יכניס לי ב-ID שלו כאשר יחפש נושא כלשהו, אות - אני גם לא אציג לו הודעת שגיאה - ואפילו לא אבדוק אם זה רק מספרים. למה? כי שיכניס אותיות - זה לא ימצא לו תוצאות. אני עובד על error_reporting של E_ALL, ואין שום שגיאה! אם תבנה מההתחלה נכון(ו-OOP יארגן לך את הקוד יותר), לא רק פחות שורות של קוד, ולא רק יותר יעילות ולא רק יותר אבטחה - אלא גם לך - יהיה יותר קל לתכנת.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)