מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :) - עמוד 2 - הוסטס

~~iniKey.com~~ · 19-11-11, 21:51

ציטוט:

נכתב במקור על ידי Youtube4Down.com

אפשר לזייף בקשה של דפדפן ממש בקלות. אין לך באמת דרך לדעת.

בוא אני יסביר את זה קצת יותר טוב - כשאתה נכנס לאתר אתה מקבל קוד שמשתנה כל מעבר לדף אחר, וכשאתה שולח תגובה הוא בודק את הקוד הזה ולא נותן לך למשל ללחוץ על F5 עוד פעם.

אי אפשר לזייף את זה, מה שכן אפשר להתחיל אותה מחדש - וזה כבר תלוי בשרת ולא באתר.

עוד פעם אני מפספס אותך Tomer,
בעיקרון אני לא יכול להגיד לך איך זה פועל מחשש שה"פטנט" הזה יגנב - אבל מצד שני אני ממש רוצה שידעו שהשיטה הזאתי גאונית.
שלח לי הודעה לפרטית ואני אסביר לך את אופן הביצוע.

**Tomer** · 19-11-11, 21:53

ציטוט:

נכתב במקור על ידי abshipping

בוא אני יסביר את זה קצת יותר טוב - כשאתה נכנס לאתר אתה מקבל קוד שמשתנה כל מעבר לדף אחר, וכשאתה שולח תגובה הוא בודק את הקוד הזה ולא נותן לך למשל ללחוץ על F5 עוד פעם.

אי אפשר לזייף את זה, מה שכן אפשר להתחיל אותה מחדש - וזה כבר תלוי בשרת ולא באתר.

מה ההבדל בין F5 (ריפרש) לבין לחיצה נוספת על הקישור "עמוד הבית" באתר שהקוד שלך מוצב בו?

~~iniKey.com~~ · 19-11-11, 21:57

ציטוט:

נכתב במקור על ידי Tomer

מה ההבדל בין F5 (ריפרש) לבין לחיצה נוספת על הקישור "עמוד הבית" באתר שהקוד שלך מוצב בו?

שוב, בלבול נושאים.
אם אתה לוחץ מלא פעמים על כפתור הבית או על כפתור הF5 כאשר לא נשלחה שום בקשה - השרת צריך להתמודד עם ההתקפה הזאתי,
אם אתה לוחץ "שלח תגובה" - ולוחץ F5 הדפדפן שואל אותך אם לשלוח שוב את הבקשה, מכיר?!

~~iniKey.com~~ · 19-11-11, 22:07

Tomer - תוכל לאשר פה שזה בשיטה מתוחכמת וטיפה מתקדמת מעוד אבטחות אחרות?

**Tomer** · 19-11-11, 22:13

הגבתי לך עליה בפרטי. אני לא חושב שהיא יוצאת דופן משאר השיטות שמשתמשים בהם. אני ארשום מה שרשמתי לך בפרטי - לדעתי, לא ניתן לחסום אתר שלם ע"י קובץ אחד שמאונקלד (include) בראש הדף ורץ משרת אחר.

משתמש שרוצה מערכת מאובטחת שלא ניתן יהיה לחדור אליה - שיתחיל לאבטח את הקלט שלו ואת השרת שלו.

~~iniKey.com~~ · 19-11-11, 22:16

ציטוט:

נכתב במקור על ידי Tomer

הגבתי לך עליה בפרטי. אני לא חושב שהיא יוצאת דופן משאר השיטות שמשתמשים בהם. אני ארשום מה שרשמתי לך בפרטי - לדעתי, לא ניתן לחסום אתר שלם ע"י קובץ אחד שמאונקלד (include) בראש הדף ורץ משרת אחר.

משתמש שרוצה מערכת מאובטחת שלא ניתן יהיה לחדור אליה - שיתחיל לאבטח את הקלט שלו ואת השרת שלו.

הגבתי לך בשנית בפרטי
אתה חושב שהאבטחה לא מתוחכמת מספיק.

וכמובן שאני משתמש בבדיקה של md5 - כדי לגלות אם אתה לא זייפת בדף הראשון של העברת הנתונים לדף השני.

~~Skfir~~ · 19-11-11, 22:18

כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה
לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

~~iniKey.com~~ · 19-11-11, 22:22

ציטוט:

נכתב במקור על ידי Skfir

כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה
לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

עסקתי למעלה מ-7 שנים באבטחת מידע - אתה לא ראית את הקודים שלי אז אתה לא יודע על מה אני מדבר.

מה זה לאבטח RSS???!?!?!
אתה מתכנת באמת [?]

בניה · 19-11-11, 22:32

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

איציק ברבי · 19-11-11, 22:45

ציטוט:

נכתב במקור על ידי בניה

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

נכון,
אבטחה אמיתית היא אבטחה שאתה בטוח שהמידע המועבר בשרת נעבר רק ע"י השרת ולא ע"י גורם שלישי.
חיסרונות - איטיות, על סמך האחסון שהבחור יספק, אתם תוסיפו גם את הזמן תגובה של האחסון שלו ושלכם.
חור אבטחה אחד גדול במידה ועשיתם אינקלוד לקובץ אחר תגידו לי מה הבעיה שלו להזריק אל תוך האחסון קובץ שאלל כלשהוא?.
וכמו שהבחור מעלי אמר וכבר ציינתי זה יהיה באותה שיטה כמו MITM שנחשבת כיום למתקפה בין המסוכנות שקיימות.

לפותח האשכול - אני לא יודע מה הכוונה שלך,
בין אם היית תמים ובין אם לא.
דבר כזה לא מוכרים!
מערכת אבטחה תשב אך ורק על השרת שלי,
במידה ולא תהיה בטוח שאתה מוכר כאן לאנשים חתול בשק(בין אם רצית בכך ובין אם לא).
אפילו אם אותם בחורים סומכים עליך וחתמתם על חוזה אז מה יקרה אם האחסון שיש בידך יפול לידיים זדוניות? חשבת על זה?
תחשוב על כל התוצאות נשמה..
אני גם בניתי מערכת אבטחה ותימכרתי אותה אבל לא עבדתי בצורה שלך.
שאתה מוכר אבטחה תמכור את כולה ולא חלקית.

אני מקווה שתבין את הטעויות שלך אבל בעל אתר,עסק או כל אתם שיקנה ממך את המערכת לא ירשה לכזה דבר.

לילה טוב,
איציק.

19-11-11, 22:13	# 15
Tomer Whatever דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	הגבתי לך עליה בפרטי. אני לא חושב שהיא יוצאת דופן משאר השיטות שמשתמשים בהם. אני ארשום מה שרשמתי לך בפרטי - לדעתי, לא ניתן לחסום אתר שלם ע"י קובץ אחד שמאונקלד (include) בראש הדף ורץ משרת אחר. משתמש שרוצה מערכת מאובטחת שלא ניתן יהיה לחדור אליה - שיתחיל לאבטח את הקלט שלו ואת השרת שלו. __________________ תומר

19-11-11, 22:32	# 19
בניה משתמש - היכל התהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך? רק מלשמוע את זה הייתי בורח. __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-11-11, 22:07	# 14
~~iniKey.com~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jun 2010 הודעות: 321	Tomer - תוכל לאשר פה שזה בשיטה מתוחכמת וטיפה מתקדמת מעוד אבטחות אחרות?

19-11-11, 22:18	# 17
~~Skfir~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2009 מיקום: הוד השרון גיל: 33 הודעות: 552	כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)