אבטחה של מערכת תוכן - הוסטס

DevZone.co.il · 15-01-07, 15:09

היי חברים, רציתי לדעת אילו "אבטחות" אני צריך לאבטח את מערכת התוכן שאני בונה כדי שתהיה מאובטחת יחסית.

לפיכך, דבר ראשון - חסימה של תווי HTML וכן הלאה מתיבות טקסט, דבר שני - סיסמאות מוצפנות ואבטחה של GET באיזורים כמו "שחזור סיסמה".

אשמח לשמוע על עוד.
תודה ויום טוב.

Eli-Hai · 15-01-07, 15:13

להצפין סיסמאות של משתמשים (במידה ומדובר על משתמשים שכלולים באתר)...

~~ShoQER~~ · 15-01-07, 15:21

למנוע התקפות SQL...

להגביל את המשתמש בנתונים מסויימים...

לבדוק כל צעד של המשתמש שהוא לא חריג במקרה...וכו'..

nevo · 15-01-07, 16:23

לבדוק שאין חור אבטחה ששולחים לך POST מדף במחשב.

sUP · 15-01-07, 19:04

htmlspecialchars
mysql_real_escape_string

ואם התוכן שאמור להכנס לעמוד לדוגמא page?id=5
אז לבדוק ש ID הוא באמת מספר בעזרת is_numeric

ממ זה בעיקרון מה שאני ושה

WebProject · 15-01-07, 19:07

קצת חשיבה הגיונית, ותקבל מערכת מאובטחת היטב, בכל מקום אשר אתה רואה שלמשתמש יש אפשרות להציב קלט כלשהו, בין אם זה תיבת טקסט, כתובת, וכו', זה מה שעליך לאבטח, אבל כמובן שבמידה ואת משתמש גם בעוגיות, הרי כל בן אדם עם טיפת ידע יכול לשנות את העוגייה בקלות מן מחשבו האישי, ולדוגמא להחליף משתמש באתר, בגלל זה עליך להציב לדוגמא שני עוגיות, אחת שתכיל את הסיסמא, השנייה את שם המשתמש, ואז לבצע התאמה בינהם בPHP.

פונקציות שימושיות:

http://php.net/mysql_real_escape_string
http://php.net/htmlspecialchars
http://php.net/stripslashes

בהצלחה :]

Valid · 15-01-07, 20:23

ציטוט:

נכתב במקור על ידי WebProject

קצת חשיבה הגיונית, ותקבל מערכת מאובטחת היטב, בכל מקום אשר אתה רואה שלמשתמש יש אפשרות להציב קלט כלשהו, בין אם זה תיבת טקסט, כתובת, וכו', זה מה שעליך לאבטח, אבל כמובן שבמידה ואת משתמש גם בעוגיות, הרי כל בן אדם עם טיפת ידע יכול לשנות את העוגייה בקלות מן מחשבו האישי, ולדוגמא להחליף משתמש באתר, בגלל זה עליך להציב לדוגמא שני עוגיות, אחת שתכיל את הסיסמא, השנייה את שם המשתמש, ואז לבצע התאמה בינהם בPHP.

פונקציות שימושיות:

http://php.net/mysql_real_escape_string
http://php.net/htmlspecialchars
http://php.net/stripslashes

בהצלחה :]

אין שום סיבה לשמור 2 עוגיות, אחת למס' \ שם משתמש והשנייה לסיסמה

אני אישית לא שומר שום דבר שקשור לסיסמה (גם אחרי 5 הצפנות) בקוקי, תאמין לי שכל הצפנה אפשר לשבור (אם זה MD5, SHA1, וכו').

eLad · 15-01-07, 20:25

ציטוט:

נכתב במקור על ידי WebProject

קצת חשיבה הגיונית, ותקבל מערכת מאובטחת היטב, בכל מקום אשר אתה רואה שלמשתמש יש אפשרות להציב קלט כלשהו, בין אם זה תיבת טקסט, כתובת, וכו', זה מה שעליך לאבטח, אבל כמובן שבמידה ואת משתמש גם בעוגיות, הרי כל בן אדם עם טיפת ידע יכול לשנות את העוגייה בקלות מן מחשבו האישי, ולדוגמא להחליף משתמש באתר, בגלל זה עליך להציב לדוגמא שני עוגיות, אחת שתכיל את הסיסמא, השנייה את שם המשתמש, ואז לבצע התאמה בינהם בPHP.

פונקציות שימושיות:

http://php.net/mysql_real_escape_string
http://php.net/htmlspecialchars
http://php.net/stripslashes

בהצלחה :]

רגע ואם הוא עורך שתי עוגיות במקום אחת זה משנה לו משהו? די כבר עם הפתרונות האלו בשקל. גם עוגייה אחת יכולה לעשות את העבודה ואפילו מעל המצופה. לא צריך סתם לכתוב עוד עוגייה.

tnadav · 16-01-07, 14:25

ציטוט:

נכתב במקור על ידי eLad

רגע ואם הוא עורך שתי עוגיות במקום אחת זה משנה לו משהו? די כבר עם הפתרונות האלו בשקל. גם עוגייה אחת יכולה לעשות את העבודה ואפילו מעל המצופה. לא צריך סתם לכתוב עוד עוגייה.

זה פתרון דווקא בסדר גמור.
אם תהיה לנו עוגיה אחת שמכילה שם משתמש, כל אחד יכול לשנות את השם משתמש ל- Admin, והנה המערכת נפרצה ב.. חצי דקה?
אבל.. אם יש לנו עוגיה אחת משתמש ועוגיה אחת סיסמא, ומן הסתם בודקים אם השם משתמש והסיסמא נכונים, הפורץ צריך לדעת את הסיסמא בשביל לפרוץ.
הבעיה היחידה פה, היא, שיש חור ל- Brute Force, ואת זה אי-אפשר לחסום, בניגוד ל- LOGIN רגיל.
לכן, הנה מה שאני עושה:
במסד נתונים, טבלה בשם SESSIONS ושם יש ID מוצפן של SESSION, וסיסמא ל- SESSION ושם משתמש של המשתמש וסיסמא של המשתמש, ואז בעוגיה יש רק ID מוצפן של SESSION וסיסמא של SESSION והמידע על העוגיה, בכלל לא רלוונטי (אפשר לגנוב עוגיות, אבל את זה אפשר לחסום ע"י הגבלת IP של SESSION)
ואז בכלל אפשר לשלב את זה עם סטטיסטיקה וכו'..

Eli-Hai · 15-01-07, 19:49

מה סלאשים יכולים לעשות? :\

15-01-07, 15:09	# 1
DevZone.co.il חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2007 הודעות: 225	אבטחה של מערכת תוכן היי חברים, רציתי לדעת אילו "אבטחות" אני צריך לאבטח את מערכת התוכן שאני בונה כדי שתהיה מאובטחת יחסית. לפיכך, דבר ראשון - חסימה של תווי HTML וכן הלאה מתיבות טקסט, דבר שני - סיסמאות מוצפנות ואבטחה של GET באיזורים כמו "שחזור סיסמה". אשמח לשמוע על עוד. תודה ויום טוב.

15-01-07, 19:04	# 5
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	htmlspecialchars mysql_real_escape_string ואם התוכן שאמור להכנס לעמוד לדוגמא page?id=5 אז לבדוק ש ID הוא באמת מספר בעזרת is_numeric ממ זה בעיקרון מה שאני ושה __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

15-01-07, 19:07	# 6
WebProject מ.תיכנות מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אשדוד הודעות: 3,070	קצת חשיבה הגיונית, ותקבל מערכת מאובטחת היטב, בכל מקום אשר אתה רואה שלמשתמש יש אפשרות להציב קלט כלשהו, בין אם זה תיבת טקסט, כתובת, וכו', זה מה שעליך לאבטח, אבל כמובן שבמידה ואת משתמש גם בעוגיות, הרי כל בן אדם עם טיפת ידע יכול לשנות את העוגייה בקלות מן מחשבו האישי, ולדוגמא להחליף משתמש באתר, בגלל זה עליך להציב לדוגמא שני עוגיות, אחת שתכיל את הסיסמא, השנייה את שם המשתמש, ואז לבצע התאמה בינהם בPHP. פונקציות שימושיות: http://php.net/mysql_real_escape_string http://php.net/htmlspecialchars http://php.net/stripslashes בהצלחה :] __________________ כושר קרבי \ טיפים לגיבושים פורטל רעל - צבא וכושר קרבי


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

15-01-07, 15:13	# 2
Eli-Hai משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,758	להצפין סיסמאות של משתמשים (במידה ומדובר על משתמשים שכלולים באתר)...

15-01-07, 15:21	# 3
~~ShoQER~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Dec 2006 מיקום: בית נרגילה P: גיל: 35 הודעות: 413	למנוע התקפות SQL... להגביל את המשתמש בנתונים מסויימים... לבדוק כל צעד של המשתמש שהוא לא חריג במקרה...וכו'..

15-01-07, 16:23	# 4
nevo חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 34 הודעות: 1,217	לבדוק שאין חור אבטחה ששולחים לך POST מדף במחשב.

15-01-07, 19:49	# 10
Eli-Hai משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,758	מה סלאשים יכולים לעשות? :\

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)