מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :) - עמוד 4 - הוסטס

~~iniKey.com~~ · 19-11-11, 21:15

PacketSecurity

אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה,
פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד.

PacketSecurity היא אבטחה ברמה טיפה מתקדמת,
ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה!

אתם שואלים את עצמכם - איך?!
הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה",
השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL!

קודם כל - מה התכונות של האבטחה?
SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה.

Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה...

Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure.

Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות.

Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר.

XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים.

Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים.

Open Redirection - העברה לאתר אחר (לעיתים פישינג).

Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים.

אוקי, עכשיו מה ברמה הניהולית:
פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים.

פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות.

המנהל יכול לסגור את האתר או את הרשיון של הלקוח.

נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!!

המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן.

חשוב להרחיב למי שעדיין לא הבין כמה נקודות:
א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION.
ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו!

19-11-11, 21:15	# 1
~~iniKey.com~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jun 2010 הודעות: 321	מוכר\| PacketSecurity - מערכת אבטחה של המאה ה-22 :) PacketSecurity אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה, פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד. PacketSecurity היא אבטחה ברמה טיפה מתקדמת, ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה! אתם שואלים את עצמכם - איך?! הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה", השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL! קודם כל - מה התכונות של האבטחה? SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה. Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה... Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure. Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות. Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר. XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים. Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים. Open Redirection - העברה לאתר אחר (לעיתים פישינג). Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים. אוקי, עכשיו מה ברמה הניהולית: פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים. פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות. המנהל יכול לסגור את האתר או את הרשיון של הלקוח. נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!! המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן. חשוב להרחיב למי שעדיין לא הבין כמה נקודות: א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION. ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו! Last edited by iniKey.com; 19-11-11 at 21:17..


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)