[HagaiA]

קודם תלמד לפרוץ שתדע את מה אתה הולך לאבטח אתה חושב שזה קל?(אלא אם כן אתה רוצה לאבטח רק דברים שלך שאתה יצרת ושאתה מכיר)
אחרי זה כנס לכאןhttp://phpsec.org

אני לא מבין - קשה-לחפש-בגוגל?......

[ASTeam]

אוקי אני רוצה להבהיר משהו..
אני לא הולך ללמוד אבטחת אתרים כמקצוע..
אני רוצה לאבטח את המערכות שלי..
אני הולך ולומד ואני מסתובב קצת רואה אתרים של מאבטחים..וזה נראה לי מוזר שהכל בקובץ אחד שהוא ברירת מחדל לכולם...
אבל עזבו את זה עכשיו..
תודה רבה MLNN הבאת חומר רב ושימושי..
אבל אני צריך להביא את זה לעשייה..
כמו בפרצות SQL רצוי הhtmlspecial ו - mysql_escape_string(שדרך אגב מה עושה?)
ואיך אני מאבטח JS?
תודה מראש.

**הערה
כמו שאמרתי בהודעה הראשונה שלי -
אני כן חיפשתי בגוגל. הוא הביא לי מידע רב..ריכזתי כאן הכל ושאלתי אם זה מספיק, בנוסף אני שואל על דברים שאני לא מצאתי..

[mlnn]

את כל הבדיקות תעשה עם ביטויים רגולריים. לי יותר נוח לעבוד עם הפוקנציה eregi.

[HagaiA]

עדיף preg_replace או בכלל לבנות פונקציה משלך שתסנן אותם או בXSS שלא תחשיב אותם כתגיות.

[Udi]

חגי אל תתנשא..כולנו יודעים כמה "טוב" אתה.

לפותח האשכול, לא הייתי מסתמך על מה שאנשים פה עונים לך,רוב המידע על אבטחת אפליקציות WEB הוא באנגלית, וככה תחפש:
web applications security.

אני אמליץ לך על כמה אתרים:
http://shiflett.org
http://jeremiahgrossman.blogspot.com/

XSS:
יש כמה וכמה צורות של XSS.

Cross-Site Request Forgeries
על זה תוכל לקרוא פה: http://shiflett.org/articles/cross-s...uest-forgeries

בגדול, זה לוודא שהטופס שלך, כל טופס, רץ מהשרת שלך, הפרמטרים שאתה מקבל - הם מהטופס שבשרת שלך. ואתה משיג את הבטחון הזה על ידי זה שאתה משתמש בסשן טוקנים, ואתה כבר תבין מה זה במאמר עצמו.
וזה גם מענה טוב לכל המתכנתים התותחים שאומרים שאין צורך לאבטח את הפאנל בכלל.
כי יש צורך, ויש צורך לוודא שמי שמנהל את המערכת הוא באמת המנהל ולא עושה נזק.
מאותה סיבה, למה לעזעזל מיקרוסופט השקיעו בכל העניין של ההתרעות בויסטה?
כל פעם שמנסים לבצע פעולה אדמיניסטרטיבית יש לנו הודעה מעצבנת. זה מאותה סיבה.
מקווה שלפחות כמה מכם הבינו את הטעות.


אבטחת אפליקציות אינטרנט זה מעבר לכמה פונקציות ושיטות התגוננות, זה תפיסה.
תדמיינו שאתם רואים את הקוד שלכם ומבינים מה צריך לעשות כדי לאבטח אותו בלי שום מאמר בנושא.

כל נתון שהתקבל מהגולש הוא זדוני עד שהמערכת שלכם תוכיח אחרת.
וזאת על ידי הבדיקות שהמערכת אמורה לעשות.

[HagaiA]

UDI אני לא מתנשא אבל אני גם לא ירד לרמה שלך,אנשים שמכירים אותי באמת יודעים כמה טוב אני.

תן לי לתקן אותך,אבטחת מידע זה ממש לא רק טפסים,לדוג' יש את הRFI שיכול לבוא בכתובת ולנצל שאילתות ולהוציא מידע וכו'.

[חיים]

ציטוט:

נכתב במקור על ידי Keyboard_C

UDI אני לא מתנשא אבל אני גם לא ירד לרמה שלך,אנשים שמכירים אותי באמת יודעים כמה טוב אני.

תן לי לתקן אותך,אבטחת מידע זה ממש לא רק טפסים,לדוג' יש את הRFI שיכול לבוא בכתובת ולנצל שאילתות ולהוציא מידע וכו'.

נו באמת למה להתלאב?יש פה בפורום עוד מאות אולי פחות אולי יותר אבל יש פה עוד הרבה כמוך ואפילו יותר טובים (לא אני ), אבל בכל זאת חח אל תגיד "כמה טוב אני" זה התלהבות וגאווה זה תכונה רעה.
ולנושא:אני בהחלט מסכים שהבטחת מידע זה לא רק טפסים אבל יש גם את השיטות פריצה דרך PL ז"א דרך חלון דוס כזה פעם מישהוא אמר לי שהוא פורץ דרך זה לפורומים שככתי מי זה חח

[Tomer]

ציטוט:

נכתב במקור על ידי Keyboard_C

עדיף preg_replace או בכלל לבנות פונקציה משלך שתסנן אותם או בXSS שלא תחשיב אותם כתגיות.

מה רע בפונקציות של php? לא צריך לשכתב מה שכבר עובד.

דבר שני, אני לא ראיתי בהודעה של Udi שום התנשאות או ירידה לרמות נמוכות, ההודעה שלו תקנית לחלוטין עפ"י כללי הנימוס.

[ASTeam]

אודי, תודה רבה על המידע.
כשאתה אומר לאבטח את הפאנל למה הכוונה?
את הטפסים שבפאנל?הרי זה ברור לא?או שלא הבנתי את כוונתך..
חגי ע"פ מה שאתה אומר צריך לאבטח את כל מה שקשור למשתמש(לא מנהל..) במידה ולמשתמש אין שום אפשרות להפתח את טפסי ההתחבורת וגט?
בנוסף - כיצד אני מאבטח JS? האם הפונקציה שהבאתי לSQL HTML מספיקות?

[Eran-s]

Udi צודק,
התנשאות לא מתאימה למתכנת/מאבטח או איך שלא תקראו לזה.

ולפותח האשכול, בשביל לאבטח טוב יותר את המערכות שלך אתה צריך להתחיל לחשוב כמו מישהו שרוצה להזיק למערכת כלשהי, לצבור ידע בניסיונות הזרקה וכו' או לצבור לך צוות בטא טסטרים שיבדקו את המערכת מבחינת פירצות.