PHP | אבטחה. - עמוד 3 - הוסטס

HagaiA · 15-07-07, 13:56

לא התנשאתי אבל אם אתם חושבים ככה אני מבקש את סליחתכם זו לא הייתה כוונתי,
וכן יש המון שיטות לפריצה ואפשר גם לנצל SQL דרך PERL שזה כמו מה שאמרת חלון שפותחים בדוס ודרך שם מפעילים את הפקודה שמזריקה את השאילתה באותו אתר,

כמו כן ASTeam,
אכן צריך לאבטח גם את האתר ע"י mysql_real_escape_string HTMLSPECIALCHARS וכו'
וגם חשוב לא לגרום לשגיאות למשל אם יש ?page=30 ועמוד 31 לא קיים אז שיבדוק שאם העמוד לא קיים שיעשה DIE אבל שלא יציג שגיאה,
אלה דברים חשובים שאתה חייב לזכור.

tnadav · 15-07-07, 14:07

בנוסף לשאלה, כיצד לאבטח JS.

כעיקרון JS לא אמורים לאבטח (פרט למקרה של מגע עם שרת, כמו AJAX, וגם שם ההגנות בשרת בעיקר), בנוסף לזה, לא אמורים לסמוך על JS.

הבעיה היא ש- JS רץ מהלקוח, אם יש הגנה ב- JS כלשהיא, הפורץ בקלות יכול לעקוף אותה, מהסיבה שהכל במחשב שלו, והכל בר שינוי.

בדיקות טפסים ב- JS מבוצעות רק בשביל נוחיות (לא מהסוג שמחרבנים בה

) כל דבר בודקים שוב פעם בשרת, ושם נמצא בדרך כלל הבסיס של ההגנה.

ב- AJAX, גם ההגנה מתבצעת בשרת, מה שכן לפעמים צריך עם JS לתאם כל מיני דברים עם המנגנון, ככה שגם ב- JS יש חלק מ- "מנגנון אבטחה"

דבר שמעניין אותי:
יש סיבה לשימוש ב- PERL או שזה סתם בשביל ה- "איזה מגניב אני, אני פורץ לאתר דרך דוס"?
אם כן, מה הייתרון בשימוש ב- PERL?
מה עושים עם PERL? (בשביל לפרוץ כמובן, אני יודע מה זה PERL למרות שאת השפה עצמה עוד לא)

mlnn · 15-07-07, 14:15

tnadav,
השימוש ב'PERL' הוא סך הכל על מנת לקצר את התהליך.
במקום שתתחבר לX, תכתוב בפורם מסוים Y ותשלח. אתה רק לוחץ אנטר. אותו דבר אפשר לעשות בכל שפה אחרת.

ASTeam · 15-07-07, 16:22

אוקי...
הבנתי
לסיכום
במצב שלי אין צורך לאבטח JS כי אני לא עושה בו שימוש כלל כמעט.
אין צורך בXSS כי למשתמש הרגיל אין אפשרות הכנסת תוכן, למנהל יש(כגון הוספת דפים וכד') אבל אני מונע את זה בhtmlspecial..
בוטים\ספאם - שימוש בתמונה רנדומלית+ שימוש בסשיין ע"מ להשעות את המשתמש שעבר את הגבלת החמש ניסיונות.
GET - במידה ויש רק id שימוש בinvtel(או איך שלא כותבים..) במידה וזה טקסט שימוש בספישלצ'ארס + שימוש בסוויצ' ואינקלוד.
בSQL אני משתמש בmysql_escape_string(שד"א לא הבנתי בגרוש מה הוא עושה..)
ראיתי בphpsec על זריקות sql האם הפונקציה הנ"ל מונעת את זה?
מס' שאלות אחרונות -
במידה ויש לי את האזור בו אני כותב טקסט שהוא התוכן(ע"י שימוש בWYSWYG) האם אי שימוש בספישל צ'ארס זה חור אבטחה? כי במידה ואני משתמש - הוא מציג לי כטקסט..איך לאבטח את זה?
לגבי הSQL זה מספיק(משום מה נראה לי מעט..)
תודה לעונים!

** אני חייב לומר תודה לכולם. אתם עונים לענינם ובזריזות. עזרתם לי מאוד.
תודה.**

**Tomer** · 15-07-07, 16:52

אם אתה משתמש ב WYSIWYG (HTML) אז אתה לא צריך htmlspecialchars מאחר ואתה כן צריך להציג את הקודי HTML כמו שהם.

mysql_escape_string בסה"כ מוסיף \ לפני '

RS324 · 15-07-07, 17:18

ציטוט:

נכתב במקור על ידי tnadav

בנוסף לשאלה, כיצד לאבטח JS.

כעיקרון JS לא אמורים לאבטח (פרט למקרה של מגע עם שרת, כמו AJAX, וגם שם ההגנות בשרת בעיקר), בנוסף לזה, לא אמורים לסמוך על JS.

הבעיה היא ש- JS רץ מהלקוח, אם יש הגנה ב- JS כלשהיא, הפורץ בקלות יכול לעקוף אותה, מהסיבה שהכל במחשב שלו, והכל בר שינוי.

בדיקות טפסים ב- JS מבוצעות רק בשביל נוחיות (לא מהסוג שמחרבנים בה

) כל דבר בודקים שוב פעם בשרת, ושם נמצא בדרך כלל הבסיס של ההגנה.

ב- AJAX, גם ההגנה מתבצעת בשרת, מה שכן לפעמים צריך עם JS לתאם כל מיני דברים עם המנגנון, ככה שגם ב- JS יש חלק מ- "מנגנון אבטחה"

דבר שמעניין אותי:
יש סיבה לשימוש ב- PERL או שזה סתם בשביל ה- "איזה מגניב אני, אני פורץ לאתר דרך דוס"?
אם כן, מה הייתרון בשימוש ב- PERL?
מה עושים עם PERL? (בשביל לפרוץ כמובן, אני יודע מה זה PERL למרות שאת השפה עצמה עוד לא)

זה מה שנקרא סקריפט קידס....

וחגי... לא פעם ראשונה שאני שומע אותך אומר, RFI, FRI וכל השטויות האלה.
אני מתכנת כבר 7 שנים ולא שמעתי פעם אחת את המושג\ביטוי\ראשי תיבות האלה...
אז אולי תואיל בטובך לתרגם לנו ותת לנו משפט או שתיים על מה שזה אומר...
סתם מעניין אותי לדעת מה זה באמת שאתה מדבר עליו כל כך הרבה...

**Tomer** · 15-07-07, 17:24

חגי, עפ"י גוגל RFI זה תחנת רדיו (אני חושב) צרפתית (RFI - Radio France Internationale), וכמה תוצאות אחרי זה Request for Information, אתה מוכן להסביר לכולנו מה הקשר?

ASTeam · 15-07-07, 17:29

הוא אמר לפני כמה אשכולות -
RFI(Request For Information) = שאילתה להשגת מידע(הזרקות למסד ולקבצים שנותנים מידע)
LFI(Local File Inclusion) = ניצול קובץ מקומי(צפיה במידע,ניצול לרעה וכו')

לגבי הסיכום - זה נכון?
לגבי הmysql_escape_string במה זה כבר עוזר???
האא ואם חגי הולך לענות פה משהו יש לי עוד שאלה..חח
איך כל המאבטחי אתרים צאבטחים אתר שלם בקובץ אחד? בלי שהם רואים את האתר???

RS324 · 15-07-07, 17:51

ציטוט:

נכתב במקור על ידי ASTeam

הוא אמר לפני כמה אשכולות -
RFI(Request For Information) = שאילתה להשגת מידע(הזרקות למסד ולקבצים שנותנים מידע)
LFI(Local File Inclusion) = ניצול קובץ מקומי(צפיה במידע,ניצול לרעה וכו')

לגבי הסיכום - זה נכון?
לגבי הmysql_escape_string במה זה כבר עוזר???
האא ואם חגי הולך לענות פה משהו יש לי עוד שאלה..חח
איך כל המאבטחי אתרים צאבטחים אתר שלם בקובץ אחד? בלי שהם רואים את האתר???

בוא נגיד שזה המאבטחים החארטות, אלה שמוכרים לאנשים חארטות... מצטער אין חיה כזאת.

~~LosNir~~ · 15-07-07, 18:54

ציטוט:

נכתב במקור על ידי RS324

בוא נגיד שזה המאבטחים החארטות, אלה שמוכרים לאנשים חארטות... מצטער אין חיה כזאת.

בערך...
אפשר לעשוות סקריפט "שמאבטח" GET ו POST ע"י לולאה על המשתנים, ככה לא צריך התערבות בסקריפט אלא רק הוספה של קובץ ב include.
אבל זה בכלל לא עוזר וזה שטויות כמו שאמרת..

15-07-07, 13:56	# 21
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 32 הודעות: 605	לא התנשאתי אבל אם אתם חושבים ככה אני מבקש את סליחתכם זו לא הייתה כוונתי, וכן יש המון שיטות לפריצה ואפשר גם לנצל SQL דרך PERL שזה כמו מה שאמרת חלון שפותחים בדוס ודרך שם מפעילים את הפקודה שמזריקה את השאילתה באותו אתר, כמו כן ASTeam, אכן צריך לאבטח גם את האתר ע"י mysql_real_escape_string HTMLSPECIALCHARS וכו' וגם חשוב לא לגרום לשגיאות למשל אם יש ?page=30 ועמוד 31 לא קיים אז שיבדוק שאם העמוד לא קיים שיעשה DIE אבל שלא יציג שגיאה, אלה דברים חשובים שאתה חייב לזכור. __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

15-07-07, 14:07	# 22
tnadav חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2006 הודעות: 216	בנוסף לשאלה, כיצד לאבטח JS. כעיקרון JS לא אמורים לאבטח (פרט למקרה של מגע עם שרת, כמו AJAX, וגם שם ההגנות בשרת בעיקר), בנוסף לזה, לא אמורים לסמוך על JS. הבעיה היא ש- JS רץ מהלקוח, אם יש הגנה ב- JS כלשהיא, הפורץ בקלות יכול לעקוף אותה, מהסיבה שהכל במחשב שלו, והכל בר שינוי. בדיקות טפסים ב- JS מבוצעות רק בשביל נוחיות (לא מהסוג שמחרבנים בה ) כל דבר בודקים שוב פעם בשרת, ושם נמצא בדרך כלל הבסיס של ההגנה. ב- AJAX, גם ההגנה מתבצעת בשרת, מה שכן לפעמים צריך עם JS לתאם כל מיני דברים עם המנגנון, ככה שגם ב- JS יש חלק מ- "מנגנון אבטחה" דבר שמעניין אותי: יש סיבה לשימוש ב- PERL או שזה סתם בשביל ה- "איזה מגניב אני, אני פורץ לאתר דרך דוס"? אם כן, מה הייתרון בשימוש ב- PERL? מה עושים עם PERL? (בשביל לפרוץ כמובן, אני יודע מה זה PERL למרות שאת השפה עצמה עוד לא) __________________ "אני לא מעצב גרפי... אני לא פלאשר תותח... בטח שלא מנכ"ל של חברת בניית אתרים, כעיקרון אסור לי להיות מועסק.. אבל אני... מתכנת ב-PHP , וגם, לא ממש מציעה.." (יצא לי מוזר משהו...חח)

15-07-07, 14:15	# 23
mlnn משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בחדר של חני גיל: 34 הודעות: 4,417	tnadav, השימוש ב'PERL' הוא סך הכל על מנת לקצר את התהליך. במקום שתתחבר לX, תכתוב בפורם מסוים Y ותשלח. אתה רק לוחץ אנטר. אותו דבר אפשר לעשות בכל שפה אחרת. __________________ . בחורות ערומות

15-07-07, 16:22	# 24
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	אוקי... הבנתי לסיכום במצב שלי אין צורך לאבטח JS כי אני לא עושה בו שימוש כלל כמעט. אין צורך בXSS כי למשתמש הרגיל אין אפשרות הכנסת תוכן, למנהל יש(כגון הוספת דפים וכד') אבל אני מונע את זה בhtmlspecial.. בוטים\ספאם - שימוש בתמונה רנדומלית+ שימוש בסשיין ע"מ להשעות את המשתמש שעבר את הגבלת החמש ניסיונות. GET - במידה ויש רק id שימוש בinvtel(או איך שלא כותבים..) במידה וזה טקסט שימוש בספישלצ'ארס + שימוש בסוויצ' ואינקלוד. בSQL אני משתמש בmysql_escape_string(שד"א לא הבנתי בגרוש מה הוא עושה..) ראיתי בphpsec על זריקות sql האם הפונקציה הנ"ל מונעת את זה? מס' שאלות אחרונות - במידה ויש לי את האזור בו אני כותב טקסט שהוא התוכן(ע"י שימוש בWYSWYG) האם אי שימוש בספישל צ'ארס זה חור אבטחה? כי במידה ואני משתמש - הוא מציג לי כטקסט..איך לאבטח את זה? לגבי הSQL זה מספיק(משום מה נראה לי מעט..) תודה לעונים! אני חייב לומר תודה לכולם. אתם עונים לענינם ובזריזות. עזרתם לי מאוד. תודה. __________________

15-07-07, 16:52	# 25
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	אם אתה משתמש ב WYSIWYG (HTML) אז אתה לא צריך htmlspecialchars מאחר ואתה כן צריך להציג את הקודי HTML כמו שהם. mysql_escape_string בסה"כ מוסיף \ לפני ' __________________ תומר


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

15-07-07, 17:24	# 27
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	חגי, עפ"י גוגל RFI זה תחנת רדיו (אני חושב) צרפתית (RFI - Radio France Internationale), וכמה תוצאות אחרי זה Request for Information, אתה מוכן להסביר לכולנו מה הקשר? __________________ תומר

15-07-07, 17:29	# 28
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	הוא אמר לפני כמה אשכולות - RFI(Request For Information) = שאילתה להשגת מידע(הזרקות למסד ולקבצים שנותנים מידע) LFI(Local File Inclusion) = ניצול קובץ מקומי(צפיה במידע,ניצול לרעה וכו') לגבי הסיכום - זה נכון? לגבי הmysql_escape_string במה זה כבר עוזר??? האא ואם חגי הולך לענות פה משהו יש לי עוד שאלה..חח איך כל המאבטחי אתרים צאבטחים אתר שלם בקובץ אחד? בלי שהם רואים את האתר??? __________________

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)