מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :) - עמוד 3 - הוסטס

~~Skfir~~ · 19-11-11, 22:18

כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה
לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

~~iniKey.com~~ · 19-11-11, 22:22

ציטוט:

נכתב במקור על ידי Skfir

כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה
לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

עסקתי למעלה מ-7 שנים באבטחת מידע - אתה לא ראית את הקודים שלי אז אתה לא יודע על מה אני מדבר.

מה זה לאבטח RSS???!?!?!
אתה מתכנת באמת [?]

~~Skfir~~ · 19-11-11, 23:26

ציטוט:

נכתב במקור על ידי abshipping

עסקתי למעלה מ-7 שנים באבטחת מידע - אתה לא ראית את הקודים שלי אז אתה לא יודע על מה אני מדבר.

מה זה לאבטח RSS???!?!?!
אתה מתכנת באמת [?]

כן אני מתכנת ולאבטח צריך לגשת אל הקוד ואין אפשרות לעבוד עם קובץ חיצוני נקודה.
אולי אפשר אבל האבטחה שווה לתחת

~~iniKey.com~~ · 19-11-11, 23:38

ציטוט:

נכתב במקור על ידי Skfir

כן אני מתכנת ולאבטח צריך לגשת אל הקוד ואין אפשרות לעבוד עם קובץ חיצוני נקודה.
אולי אפשר אבל האבטחה שווה לתחת

RSS זה לא דבר שניתן לאיבטוח - זה סה"כ קריאת עידכונים...
עד שלא ראיתם את הקודים, אין על מה לדבר...

LiaVooS · 19-11-11, 23:12

בהצלחה במכירה (:

~~iniKey.com~~ · 19-11-11, 23:13

ציטוט:

נכתב במקור על ידי Ssti

בהצלחה במכירה (:

הו, סוף סוף תגובה חיובית

תודה רבה :P

Erez | TrustMedia.co.il · 19-11-11, 23:13

גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה.
נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום.
דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר.

בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות...

~~iniKey.com~~ · 19-11-11, 23:19

ציטוט:

נכתב במקור על ידי Erez.info

גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה.
נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום.
דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר.

בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות...

טוב,
אמרתי רק ל-Tomer על הבסיס של השיטה שלי - ואני מחכה שהוא לפחות יפתור אותכם על הXSS והSQL Injection.

בכל מקרה,
א. השיטה שלי מאפשרת לשלוח HTML אבל לא לקבל את זה כHTML, שאתה רואה את זה זה מקודד לתווים אסקים ולא לתו הנוכחי.
ב. ייבוא קבצים (RFI וLFI) אני מתכוון רק באגים שמאפשרים ייבוא קבצים מרחוק, אתה מכיר את זה שיטה די מוכרת: index.php?file=test.php...
ג. פישינג - אני קודם כל בודק אם הופנת מהאתר הנוכחי (אם הכתובת זהה), אם היא לא זהה זה בודק את זה בעיניין של 0.1 שניות.

Erez | TrustMedia.co.il · 20-11-11, 10:17

ציטוט:

נכתב במקור על ידי abshipping

טוב,
אמרתי רק ל-Tomer על הבסיס של השיטה שלי - ואני מחכה שהוא לפחות יפתור אותכם על הXSS והSQL Injection.

בכל מקרה,
א. השיטה שלי מאפשרת לשלוח HTML אבל לא לקבל את זה כHTML, שאתה רואה את זה זה מקודד לתווים אסקים ולא לתו הנוכחי.
ב. ייבוא קבצים (RFI וLFI) אני מתכוון רק באגים שמאפשרים ייבוא קבצים מרחוק, אתה מכיר את זה שיטה די מוכרת: index.php?file=test.php...
ג. פישינג - אני קודם כל בודק אם הופנת מהאתר הנוכחי (אם הכתובת זהה), אם היא לא זהה זה בודק את זה בעיניין של 0.1 שניות.

א. מה הקשר? מה שהמשתמש שולח זה מה שאתה אמור לקבל אז אם אתה לא מקבל את זה כHTML אז חסמת עורכים עשירים ועוד כל מיני אופציות אחרות שיכול להיות שיהיה צורך בהם בHTML לא מקודד.
ב. אז כמו שאתה רואה כבר יש דברים שאין לך אופציות לסדר...
ג. המספר שזרקת פה לא יכול להיות מדוייק, כי יש שרתים במדינות רחוקות ויש שרתים קרובים. אז קודם כל יהיו מצבים שיקח זמן טעינה רציני לדף לעלות. וגם יש את עניין התעבורה, שכל גולש שיכנס מהפניה אז קודם כל תייבא את הHTML של הדף המפנה, ואז גם תבזבז משאבים על הצלבת הקוד.

אדיר · 19-11-11, 23:39

אני אשתדל לא לחזור על דברים שכבר נאמרו, מאוד חשוב לי להבהיר לך את הנקודה.

ראשית אני מאוד מצטער לנפץ לך את החלום, אבל אתה תופס מהמערכת שעשית הרבה יותר ממה שהיא, ליתר דיוק הרבה יותר ממה שהיא יכולה להיות.

להעביר כל קלט שמתקבל מהמשתמש כל סינון אפשרי זה לא בעיה,
הבעיה היא מה שקורה כתוצאה מזה - אתה מבזבז משאבים בצורה מטורפת, אתה עלול להרוס פונקציונליות של קוד שלם כשאתה חוסם דברים שכן אמורים להתאפשר ולסיכום אתה ממש, אבל ממש, לא עושה את זה כמו שצריך.

אין כאן שום מקום להשוואה בין הדבר הזה לבין מתכנת שעובר לך על מערכת ומאתר בעיות אבטחה בצורה נקודתית,
מערכת כזאת לא מסוגלת להגיע לרמת גימור כזאת, ולא משנה עד כמה מתוחכמת היא תהיה.

אם אתה מתעסק בתחום כל כך הרבה זמן כמו שאתה טוען,
אתה אמור לדעת את זה בעצמך.

זה יכול לשמש כפתרון זול, פתרון זמני, פתרון מהיר,
אבל פתרון טוב ואיכותי - זה פשוט לא יכול להיות.

19-11-11, 23:13	# 7
Erez \| TrustMedia.co.il עסק רשום [?] דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה. נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום. דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר. בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות... __________________

19-11-11, 23:39	# 10
אדיר עסק רשום [?] דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	אני אשתדל לא לחזור על דברים שכבר נאמרו, מאוד חשוב לי להבהיר לך את הנקודה. ראשית אני מאוד מצטער לנפץ לך את החלום, אבל אתה תופס מהמערכת שעשית הרבה יותר ממה שהיא, ליתר דיוק הרבה יותר ממה שהיא יכולה להיות. להעביר כל קלט שמתקבל מהמשתמש כל סינון אפשרי זה לא בעיה, הבעיה היא מה שקורה כתוצאה מזה - אתה מבזבז משאבים בצורה מטורפת, אתה עלול להרוס פונקציונליות של קוד שלם כשאתה חוסם דברים שכן אמורים להתאפשר ולסיכום אתה ממש, אבל ממש, לא עושה את זה כמו שצריך. אין כאן שום מקום להשוואה בין הדבר הזה לבין מתכנת שעובר לך על מערכת ומאתר בעיות אבטחה בצורה נקודתית, מערכת כזאת לא מסוגלת להגיע לרמת גימור כזאת, ולא משנה עד כמה מתוחכמת היא תהיה. אם אתה מתעסק בתחום כל כך הרבה זמן כמו שאתה טוען, אתה אמור לדעת את זה בעצמך. זה יכול לשמש כפתרון זול, פתרון זמני, פתרון מהיר, אבל פתרון טוב ואיכותי - זה פשוט לא יכול להיות. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-11-11, 22:18	# 1
~~Skfir~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2009 מיקום: הוד השרון גיל: 33 הודעות: 552	כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

19-11-11, 23:12	# 5
LiaVooS חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2011 הודעות: 291	בהצלחה במכירה (:

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)