מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :) - עמוד 3 - הוסטס

~~iniKey.com~~ · 19-11-11, 22:58

ציטוט:

נכתב במקור על ידי בניה

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

ציטוט:

נכתב במקור על ידי Echo

נכון,
אבטחה אמיתית היא אבטחה שאתה בטוח שהמידע המועבר בשרת נעבר רק ע"י השרת ולא ע"י גורם שלישי.
חיסרונות - איטיות, על סמך האחסון שהבחור יספק, אתם תוסיפו גם את הזמן תגובה של האחסון שלו ושלכם.
חור אבטחה אחד גדול במידה ועשיתם אינקלוד לקובץ אחר תגידו לי מה הבעיה שלו להזריק אל תוך האחסון קובץ שאלל כלשהוא?.
וכמו שהבחור מעלי אמר וכבר ציינתי זה יהיה באותה שיטה כמו MITM שנחשבת כיום למתקפה בין המסוכנות שקיימות.

לפותח האשכול - אני לא יודע מה הכוונה שלך,
בין אם היית תמים ובין אם לא.
דבר כזה לא מוכרים!
מערכת אבטחה תשב אך ורק על השרת שלי,
במידה ולא תהיה בטוח שאתה מוכר כאן לאנשים חתול בשק.
אפילו אם אותם בחורים סומכים עליך וחתמתם על חוזה אז מה יקרה אם האחסון שיש בידך יפול לידיים לא זדוניות? חשבת על זה?
תחשוב על כל התוצאות נשמה..
אני גם בניתי מערכת אבטחה ותימכרתי אותה אבל לא עבדתי בצורה שלך.
שאתה מוכר אבטחה תמכור את כולה ולא חלקית.

אני מקווה שתבין את הטעויות שלך אבל בעל אתר,עסק או כל אתם שיקנה ממך את המערכת לא ירשה לכזה דבר.

לילה טוב,
איציק.

לא הבהרתי את עצמי טוב, סליחה.
אם אתה קונה ממני את מערכת האבטחה - אתה קונה את כל הפאנל,
ואתה יכול למכור אבטחות על פי תשלום חודשי גם, כי תוך שניה אתה יכול לבטל את האבטחה מרחוק...

הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....

MITM? אתה יודע בכלל מה זה?
זה אם אני ואתה על אותו נתב ראוטר, אני יכול לדעת את הפאקטים שנשלחים בפעולה, אין לזה הגנה ממש חוץ מהצפנה בראוטר.

קובץ SHELL? אם הוא פרץ לך לאחסון ושם לך SHELL זה כבר אבטחת שרת...

LiaVooS · 19-11-11, 23:12

בהצלחה במכירה (:

Erez | TrustMedia.co.il · 19-11-11, 23:13

גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה.
נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום.
דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר.

בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות...

~~iniKey.com~~ · 19-11-11, 23:13

ציטוט:

נכתב במקור על ידי Ssti

בהצלחה במכירה (:

הו, סוף סוף תגובה חיובית

תודה רבה :P

~~iniKey.com~~ · 19-11-11, 23:19

ציטוט:

נכתב במקור על ידי Erez.info

גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה.
נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום.
דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר.

בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות...

טוב,
אמרתי רק ל-Tomer על הבסיס של השיטה שלי - ואני מחכה שהוא לפחות יפתור אותכם על הXSS והSQL Injection.

בכל מקרה,
א. השיטה שלי מאפשרת לשלוח HTML אבל לא לקבל את זה כHTML, שאתה רואה את זה זה מקודד לתווים אסקים ולא לתו הנוכחי.
ב. ייבוא קבצים (RFI וLFI) אני מתכוון רק באגים שמאפשרים ייבוא קבצים מרחוק, אתה מכיר את זה שיטה די מוכרת: index.php?file=test.php...
ג. פישינג - אני קודם כל בודק אם הופנת מהאתר הנוכחי (אם הכתובת זהה), אם היא לא זהה זה בודק את זה בעיניין של 0.1 שניות.

~~Skfir~~ · 19-11-11, 23:26

ציטוט:

נכתב במקור על ידי abshipping

עסקתי למעלה מ-7 שנים באבטחת מידע - אתה לא ראית את הקודים שלי אז אתה לא יודע על מה אני מדבר.

מה זה לאבטח RSS???!?!?!
אתה מתכנת באמת [?]

כן אני מתכנת ולאבטח צריך לגשת אל הקוד ואין אפשרות לעבוד עם קובץ חיצוני נקודה.
אולי אפשר אבל האבטחה שווה לתחת

~~iniKey.com~~ · 19-11-11, 23:38

ציטוט:

נכתב במקור על ידי Skfir

כן אני מתכנת ולאבטח צריך לגשת אל הקוד ואין אפשרות לעבוד עם קובץ חיצוני נקודה.
אולי אפשר אבל האבטחה שווה לתחת

RSS זה לא דבר שניתן לאיבטוח - זה סה"כ קריאת עידכונים...
עד שלא ראיתם את הקודים, אין על מה לדבר...

אדיר · 19-11-11, 23:39

אני אשתדל לא לחזור על דברים שכבר נאמרו, מאוד חשוב לי להבהיר לך את הנקודה.

ראשית אני מאוד מצטער לנפץ לך את החלום, אבל אתה תופס מהמערכת שעשית הרבה יותר ממה שהיא, ליתר דיוק הרבה יותר ממה שהיא יכולה להיות.

להעביר כל קלט שמתקבל מהמשתמש כל סינון אפשרי זה לא בעיה,
הבעיה היא מה שקורה כתוצאה מזה - אתה מבזבז משאבים בצורה מטורפת, אתה עלול להרוס פונקציונליות של קוד שלם כשאתה חוסם דברים שכן אמורים להתאפשר ולסיכום אתה ממש, אבל ממש, לא עושה את זה כמו שצריך.

אין כאן שום מקום להשוואה בין הדבר הזה לבין מתכנת שעובר לך על מערכת ומאתר בעיות אבטחה בצורה נקודתית,
מערכת כזאת לא מסוגלת להגיע לרמת גימור כזאת, ולא משנה עד כמה מתוחכמת היא תהיה.

אם אתה מתעסק בתחום כל כך הרבה זמן כמו שאתה טוען,
אתה אמור לדעת את זה בעצמך.

זה יכול לשמש כפתרון זול, פתרון זמני, פתרון מהיר,
אבל פתרון טוב ואיכותי - זה פשוט לא יכול להיות.

איציק ברבי · 19-11-11, 23:43

ציטוט:

נכתב במקור על ידי abshipping

לא הבהרתי את עצמי טוב, סליחה.
אם אתה קונה ממני את מערכת האבטחה - אתה קונה את כל הפאנל,
ואתה יכול למכור אבטחות על פי תשלום חודשי גם, כי תוך שניה אתה יכול לבטל את האבטחה מרחוק...

הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....

MITM? אתה יודע בכלל מה זה?
זה אם אני ואתה על אותו נתב ראוטר, אני יכול לדעת את הפאקטים שנשלחים בפעולה, אין לזה הגנה ממש חוץ מהצפנה בראוטר.

קובץ SHELL? אם הוא פרץ לך לאחסון ושם לך SHELL זה כבר אבטחת שרת...

סליחה?! אתה מזלזל בידע שלי או שנדמה לי?!
זה שאתה מפזר מילים בשטח כמו "הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....
מאיפה לנו לדעת את זה? אחרי הכל אנחנו לא יודעים את התוכן של הקובץ שאנחנו מאנקלדים לשרת.
MITM - אני לא יודע מה זה?
אני אמרתי שזה פועל באותו סגנון שכל התעבורה עוברת ע"י צד שלישי ואגב זה לא הצפנה בראוטר זה SSL תקרא על זה.

ולמה לא התייחסת לשאר ההודעה שכתבתי?
לזה שאתה מוכר חור אבטחה אחד גדול בעצמך.
תתייחס לזה ואל תתייחס רק למה שאתה רוצה.

ובעקבות התגובה המפוארת שהגבת נראה לי שאני מפקפק בזמן שאתה בתחום האבטחת מידע(7שנים).

~~iniKey.com~~ · 19-11-11, 23:50

ציטוט:

נכתב במקור על ידי xPerfection

אני אשתדל לא לחזור על דברים שכבר נאמרו, מאוד חשוב לי להבהיר לך את הנקודה.

ראשית אני מאוד מצטער לנפץ לך את החלום, אבל אתה תופס מהמערכת שעשית הרבה יותר ממה שהיא, ליתר דיוק הרבה יותר ממה שהיא יכולה להיות.

להעביר כל קלט שמתקבל מהמשתמש כל סינון אפשרי זה לא בעיה,
הבעיה היא מה שקורה כתוצאה מזה - אתה מבזבז משאבים בצורה מטורפת, אתה עלול להרוס פונקציונליות של קוד שלם כשאתה חוסם דברים שכן אמורים להתאפשר ולסיכום אתה ממש, אבל ממש, לא עושה את זה כמו שצריך.

אין כאן שום מקום להשוואה בין הדבר הזה לבין מתכנת שעובר לך על מערכת ומאתר בעיות אבטחה בצורה נקודתית,
מערכת כזאת לא מסוגלת להגיע לרמת גימור כזאת, ולא משנה עד כמה מתוחכמת היא תהיה.

אם אתה מתעסק בתחום כל כך הרבה זמן כמו שאתה טוען,
אתה אמור לדעת את זה בעצמך.

זה יכול לשמש כפתרון זול, פתרון זמני, פתרון מהיר,
אבל פתרון טוב ואיכותי - זה פשוט לא יכול להיות.

יכול להיות שאני זוכר אותך עוד מ-fxp,
פעם בניתי איזה שיטה לפתור משוואות עד ממעלה עשירית בעזרת PHP וזילזלת בי,
אחרי כמה זמן שראית את הקוד כתוב ביקשת סליחה

ציטוט:

נכתב במקור על ידי Echo

סליחה?! אתה מזלזל בידע שלי או שנדמה לי?!
זה שאתה מפזר מילים בשטח כמו "הבקשות של הלקוחות שלך עוברים דרך השרת שלך ,
הבקשות אינם נשמרות דרך לוגים והם זמניות....
מאיפה לנו לדעת את זה? אחרי הכל אנחנו לא יודעים את התוכן של הקובץ שאנחנו מאנקלדים לשרת.
MITM - אני לא יודע מה זה?
אני אמרתי שזה פועל באותו סגנון שכל התעבורה עוברת ע"י צד שלישי ואגב זה לא הצפנה בראוטר זה SSL תקרא על זה.

ולמה לא התייחסת לשאר ההודעה שכתבתי?
לזה שאתה מוכר חור אבטחה אחד גדול בעצמך.
תתייחס לזה ואל תתייחס רק למה שאתה רוצה.

ובעקבות התגובה המפוארת שהגבת נראה לי שאני מפקפק בזמן שאתה בתחום האבטחת מידע(7שנים).

אני לא זילזלתי בך ואני גם לא אזלזל,
התייחסתי לשאר ההודעה שכתבת - אמרתי לך שהבאג שאמרת תלוי בעיקר בשרת.

לך (הקונה) יש את הקוד מקור של האבטחה האבטחה!

19-11-11, 23:13	# 23
Erez \| TrustMedia.co.il עסק רשום [?] דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה. נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום. דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר. בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות... __________________

19-11-11, 23:39	# 28
אדיר עסק רשום [?] דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	אני אשתדל לא לחזור על דברים שכבר נאמרו, מאוד חשוב לי להבהיר לך את הנקודה. ראשית אני מאוד מצטער לנפץ לך את החלום, אבל אתה תופס מהמערכת שעשית הרבה יותר ממה שהיא, ליתר דיוק הרבה יותר ממה שהיא יכולה להיות. להעביר כל קלט שמתקבל מהמשתמש כל סינון אפשרי זה לא בעיה, הבעיה היא מה שקורה כתוצאה מזה - אתה מבזבז משאבים בצורה מטורפת, אתה עלול להרוס פונקציונליות של קוד שלם כשאתה חוסם דברים שכן אמורים להתאפשר ולסיכום אתה ממש, אבל ממש, לא עושה את זה כמו שצריך. אין כאן שום מקום להשוואה בין הדבר הזה לבין מתכנת שעובר לך על מערכת ומאתר בעיות אבטחה בצורה נקודתית, מערכת כזאת לא מסוגלת להגיע לרמת גימור כזאת, ולא משנה עד כמה מתוחכמת היא תהיה. אם אתה מתעסק בתחום כל כך הרבה זמן כמו שאתה טוען, אתה אמור לדעת את זה בעצמך. זה יכול לשמש כפתרון זול, פתרון זמני, פתרון מהיר, אבל פתרון טוב ואיכותי - זה פשוט לא יכול להיות. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-11-11, 23:12	# 22
LiaVooS חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Nov 2011 הודעות: 291	בהצלחה במכירה (:

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)