15-07-07, 13:56 | # 21 |
חבר מתקדם
|
לא התנשאתי אבל אם אתם חושבים ככה אני מבקש את סליחתכם זו לא הייתה כוונתי,
וכן יש המון שיטות לפריצה ואפשר גם לנצל SQL דרך PERL שזה כמו מה שאמרת חלון שפותחים בדוס ודרך שם מפעילים את הפקודה שמזריקה את השאילתה באותו אתר, כמו כן ASTeam, אכן צריך לאבטח גם את האתר ע"י mysql_real_escape_string HTMLSPECIALCHARS וכו' וגם חשוב לא לגרום לשגיאות למשל אם יש ?page=30 ועמוד 31 לא קיים אז שיבדוק שאם העמוד לא קיים שיעשה DIE אבל שלא יציג שגיאה, אלה דברים חשובים שאתה חייב לזכור.
__________________
חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט. |
15-07-07, 14:07 | # 22 |
חבר בקהילה
|
בנוסף לשאלה, כיצד לאבטח JS.
כעיקרון JS לא אמורים לאבטח (פרט למקרה של מגע עם שרת, כמו AJAX, וגם שם ההגנות בשרת בעיקר), בנוסף לזה, לא אמורים לסמוך על JS. הבעיה היא ש- JS רץ מהלקוח, אם יש הגנה ב- JS כלשהיא, הפורץ בקלות יכול לעקוף אותה, מהסיבה שהכל במחשב שלו, והכל בר שינוי. בדיקות טפסים ב- JS מבוצעות רק בשביל נוחיות (לא מהסוג שמחרבנים בה ) כל דבר בודקים שוב פעם בשרת, ושם נמצא בדרך כלל הבסיס של ההגנה. ב- AJAX, גם ההגנה מתבצעת בשרת, מה שכן לפעמים צריך עם JS לתאם כל מיני דברים עם המנגנון, ככה שגם ב- JS יש חלק מ- "מנגנון אבטחה" דבר שמעניין אותי: יש סיבה לשימוש ב- PERL או שזה סתם בשביל ה- "איזה מגניב אני, אני פורץ לאתר דרך דוס"? אם כן, מה הייתרון בשימוש ב- PERL? מה עושים עם PERL? (בשביל לפרוץ כמובן, אני יודע מה זה PERL למרות שאת השפה עצמה עוד לא)
__________________
"אני לא מעצב גרפי... אני לא פלאשר תותח... בטח שלא מנכ"ל של חברת בניית אתרים, כעיקרון אסור לי להיות מועסק.. אבל אני... מתכנת ב-PHP , וגם, לא ממש מציעה.." (יצא לי מוזר משהו...חח) |
15-07-07, 14:15 | # 23 |
משתמש - היכל התהילה
|
tnadav,
השימוש ב'PERL' הוא סך הכל על מנת לקצר את התהליך. במקום שתתחבר לX, תכתוב בפורם מסוים Y ותשלח. אתה רק לוחץ אנטר. אותו דבר אפשר לעשות בכל שפה אחרת. |
15-07-07, 16:22 | # 24 |
חבר מתקדם
|
אוקי...
הבנתי לסיכום במצב שלי אין צורך לאבטח JS כי אני לא עושה בו שימוש כלל כמעט. אין צורך בXSS כי למשתמש הרגיל אין אפשרות הכנסת תוכן, למנהל יש(כגון הוספת דפים וכד') אבל אני מונע את זה בhtmlspecial.. בוטים\ספאם - שימוש בתמונה רנדומלית+ שימוש בסשיין ע"מ להשעות את המשתמש שעבר את הגבלת החמש ניסיונות. GET - במידה ויש רק id שימוש בinvtel(או איך שלא כותבים..) במידה וזה טקסט שימוש בספישלצ'ארס + שימוש בסוויצ' ואינקלוד. בSQL אני משתמש בmysql_escape_string(שד"א לא הבנתי בגרוש מה הוא עושה..) ראיתי בphpsec על זריקות sql האם הפונקציה הנ"ל מונעת את זה? מס' שאלות אחרונות - במידה ויש לי את האזור בו אני כותב טקסט שהוא התוכן(ע"י שימוש בWYSWYG) האם אי שימוש בספישל צ'ארס זה חור אבטחה? כי במידה ואני משתמש - הוא מציג לי כטקסט..איך לאבטח את זה? לגבי הSQL זה מספיק(משום מה נראה לי מעט..) תודה לעונים! ** אני חייב לומר תודה לכולם. אתם עונים לענינם ובזריזות. עזרתם לי מאוד. תודה.**
__________________
|
15-07-07, 16:52 | # 25 |
Whatever
|
אם אתה משתמש ב WYSIWYG (HTML) אז אתה לא צריך htmlspecialchars מאחר ואתה כן צריך להציג את הקודי HTML כמו שהם.
mysql_escape_string בסה"כ מוסיף \ לפני '
__________________
תומר |
15-07-07, 17:18 | # 26 | |
תודה על תרומתך.
|
ציטוט:
וחגי... לא פעם ראשונה שאני שומע אותך אומר, RFI, FRI וכל השטויות האלה. אני מתכנת כבר 7 שנים ולא שמעתי פעם אחת את המושג\ביטוי\ראשי תיבות האלה... אז אולי תואיל בטובך לתרגם לנו ותת לנו משפט או שתיים על מה שזה אומר... סתם מעניין אותי לדעת מה זה באמת שאתה מדבר עליו כל כך הרבה...
__________________
|
|
15-07-07, 17:24 | # 27 |
Whatever
|
חגי, עפ"י גוגל RFI זה תחנת רדיו (אני חושב) צרפתית (RFI - Radio France Internationale), וכמה תוצאות אחרי זה Request for Information, אתה מוכן להסביר לכולנו מה הקשר?
__________________
תומר |
15-07-07, 17:29 | # 28 |
חבר מתקדם
|
הוא אמר לפני כמה אשכולות -
RFI(Request For Information) = שאילתה להשגת מידע(הזרקות למסד ולקבצים שנותנים מידע) LFI(Local File Inclusion) = ניצול קובץ מקומי(צפיה במידע,ניצול לרעה וכו') לגבי הסיכום - זה נכון? לגבי הmysql_escape_string במה זה כבר עוזר??? האא ואם חגי הולך לענות פה משהו יש לי עוד שאלה..חח איך כל המאבטחי אתרים צאבטחים אתר שלם בקובץ אחד? בלי שהם רואים את האתר???
__________________
|
15-07-07, 17:51 | # 29 | |
תודה על תרומתך.
|
ציטוט:
__________________
|
|
15-07-07, 18:54 | # 30 |
מתאורר / יצא בחוץ
|
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|