מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :) - הוסטס

~~iniKey.com~~ · 19-11-11, 21:15

PacketSecurity

אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה,
פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד.

PacketSecurity היא אבטחה ברמה טיפה מתקדמת,
ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה!

אתם שואלים את עצמכם - איך?!
הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה",
השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL!

קודם כל - מה התכונות של האבטחה?
SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה.

Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה...

Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure.

Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות.

Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר.

XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים.

Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים.

Open Redirection - העברה לאתר אחר (לעיתים פישינג).

Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים.

אוקי, עכשיו מה ברמה הניהולית:
פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים.

פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות.

המנהל יכול לסגור את האתר או את הרשיון של הלקוח.

נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!!

המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן.

חשוב להרחיב למי שעדיין לא הבין כמה נקודות:
א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION.
ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו!

eliran2313 · 19-11-11, 21:22

איך אני משלב אותה באתר שלי?

~~iniKey.com~~ · 19-11-11, 21:26

כמו מה שאמרתי, תגיד include פשוטה - זה נשמע כמו אבטחה מעפנה אך שתצפה בקודים תבין שזה מעולם אחר.

Liorl · 19-11-11, 21:31

אשמח לדעתי איך קוראים לך , רז במקרה ?

Tal. · 19-11-11, 21:33

יישר כוח, חשבתי לבנות פעם כזאת אבל גיליתי שזה המון עבודה.
יש אתר שכבר עובד עם המערכת שנוכל לבדוק?

Perfect · 19-11-11, 21:35

מה המחיר?

**Tomer** · 19-11-11, 21:37

היי,

אני אשמח לדעת איך ע"י include של קובץ אתה יכול להגן בפני התקפות ddos? כנ"ל XSS.

~~iniKey.com~~ · 19-11-11, 21:38

ציטוט:

נכתב במקור על ידי Liorl

אשמח לדעתי איך קוראים לך , רז במקרה ?

לא רז, קוראים לי דוד.

ציטוט:

נכתב במקור על ידי Youtube4Down.com

יישר כוח, חשבתי לבנות פעם כזאת אבל גיליתי שזה המון עבודה.
יש אתר שכבר עובד עם המערכת שנוכל לבדוק?

בתהליך, אני צריך לחפש קודם כל אחסון טוב

ציטוט:

נכתב במקור על ידי Perfect

מה המחיר?

500 שקל - אתה מקבל את הכל (הפאנל, ההסברים הכל!).
האבטחה הזאת גם יכולה להמחר בתשלום חודשי ולא בחד-פעמי!

Tomer - האבטחה שלי לא מגנה מפני DDOS דרך השרת, אם אתה מתקיף את השרת אתה יכול להפיל אותו, אבל האבטחה שלי מגנה מDDOS דרך האתר - היא משתמשת בקוד שאם אתה מעוניין לפרסם תגובה - אתה חייב לפרסם אותה מהדפדפן (ולא דרך BOT שבנית דרך PERL\C וכדומה...)

איך היא יכולה להגן על XSS דרך Include? למה אתה לא שואל אל זה גם על SQL Injection, RFI, LFI, וכל החסימות האחרות שציינתי פה?!
ובכן, התשובה הזאת נמצאת אך ורק בקוד של המערכת.

Tal. · 19-11-11, 21:49

אפשר לזייף בקשה של דפדפן ממש בקלות. אין לך באמת דרך לדעת.

**Tomer** · 19-11-11, 21:51

ציטוט:

נכתב במקור על ידי abshipping

Tomer - האבטחה שלי לא מגנה מפני DDOS דרך השרת, אם אתה מתקיף את השרת אתה יכול להפיל אותו, אבל האבטחה שלי מגנה מDDOS דרך האתר - היא משתמשת בקוד שאם אתה מעוניין לפרסם תגובה - אתה חייב לפרסם אותה מהדפדפן (ולא דרך BOT שבנית דרך PERL\C וכדומה...)

איך היא יכולה להגן על XSS דרך Include? למה אתה לא שואל אל זה גם על SQL Injection, RFI, LFI, וכל החסימות האחרות שציינתי פה?!
ובכן, התשובה הזאת נמצאת אך ורק בקוד של המערכת.

אם אתה רוצה, אני יכול לשאול גם לגבי האחרים... מצטער שאני סקפטי, אבל שאר המערכות 'אבטחה' שאנשים שונים ניסו למכור בפורום לא היו מי יודע מה (בלשון המעטה) והוצגו בדיוק כמו שאתה מציג את שלך.

19-11-11, 21:15	# 1
~~iniKey.com~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jun 2010 הודעות: 321	מוכר\| PacketSecurity - מערכת אבטחה של המאה ה-22 :) PacketSecurity אני רוצה להציג לכם פה מערכת אבטחה יחודיית מסוגה, פעם, שרציתם לאבטח את אתרכם יכולתם לשכור מאבטח פרטי, שהוא היה סורק את האתר ומגלה בו חורים ואז סוגר אותם ידנית - דבר זה היה יכול לקחת מספר ימים ובתשלום גדול מאוד. PacketSecurity היא אבטחה ברמה טיפה מתקדמת, ההתקנה שלה מאוד קלה ונוחה - זוכרים את האבטחות החינמיות הישנות? שהייתם רק צריכים לשים תגיד Include בתחילת העמוד, וזה היה חוסם מתקפות מסוג Sql Injection - אז אותה התקנה! אתם שואלים את עצמכם - איך?! הרי אבטחה חינמית זה אבטחה "מעפנה" שפשוט חוסמת תגיות של SQL באתר ומציג דף "ההתקפה נחסמה", השיטה "שפיתחתי" היא שיטה מאוד מתקדמת (בלי להשוויץ כן?!), אבל האבטחה מסננת את כל חורי האבטחה (ותכף ניתן פירוט מה) מבלי להציג שום דף "ההתקפה נחסמה" - וגם בלי לחסום תגיות של SQL! קודם כל - מה התכונות של האבטחה? SQL Injection - לא צריך להרחיב יותר מדי, הרחבתי כבר למעלה. Cookies Editor - שיטה מאוד נחמדה שמאפשרת לעקוף כמה פונקציות להתמודדות עם SQL Injection, XSS וכדומה... Session Editor - אותה עיקרון של Cookies Editor בתוספת של Full Path Disclosure. Session Fixation ו- Session Hijacking - לא נרחיב פה יותר מדי, אבל שיטות שבדרך כל לא כל כך מזיקות. Flood & Bot - למניעת התקפות DOS\DDOS וכדומה על האתר. XSS (Cross Site Scripting) - לא נראה לי שצריך להרחיב על זה יותר מדי, אבל מה שאולי רובכם לא יודעים זה שאפשר לגנוב עם זה סיסמאות ופרטים נוספים. Local File Inclusion + Remote File Inclusion - ייבוא קבצים מקומיים ו\או מרוחקים. Open Redirection - העברה לאתר אחר (לעיתים פישינג). Phishing - גם כאן לא צריך לפרט - רק חשוב לציין שהאבטחה פשוט לא מגנה ב100% - השיטה שלי היא פשוט לבדוק מאיפה המשתמש הופנה ובנוסף לבדוק אם האתרים כמעט זההים. אוקי, עכשיו מה ברמה הניהולית: פאנל אבטחה ללקוח, הכולל פורום תמיכה ושינוי פרטים. פאנל למנהל, שיכול ליצור משתמשים ונהל את האבטחות. המנהל יכול לסגור את האתר או את הרשיון של הלקוח. נגד הדלפות!!! - לקוח הדליף את האבטחה? - האבטחה תהיה תקפה רק ללקוח אחד שהזין את כתובת האתר שלו בפאנל!!, בנוסף הינכם יכולים "להשעות" ו\או למחוק את הלקוח מהמערכת וכך הוא לא יכול להשתמש בה!!! המנהל יכול לשנות את עדכון האבטחה - כך שכולם יידרשו לעדכן. חשוב להרחיב למי שעדיין לא הבין כמה נקודות: א. האבטחה עובדת בכל שיטות העברת הנתונים: GET, POST, REQUEST, COOKIES, SESSION. ב. מי שהדליף את "קובץ הלקוח" של האבטחה - אינו יכול לעשות איתו כלום עד שלא ירכוש את האבטחה, הקובץ עצמו לא מאבטח כלום, האבטחה נעשת על ידי השרת שהפאנל מאוחסן עליו! Last edited by iniKey.com; 19-11-11 at 21:17..

19-11-11, 21:31	# 4
Liorl חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Aug 2010 הודעות: 604	אשמח לדעתי איך קוראים לך , רז במקרה ? __________________

19-11-11, 21:37	# 7
Tomer Whatever דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	היי, אני אשמח לדעת איך ע"י include של קובץ אתה יכול להגן בפני התקפות ddos? כנ"ל XSS. __________________ תומר


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-11-11, 21:22	# 2
eliran2313 חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Aug 2011 הודעות: 691	איך אני משלב אותה באתר שלי?

19-11-11, 21:26	# 3
~~iniKey.com~~ חסום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jun 2010 הודעות: 321	כמו מה שאמרתי, תגיד include פשוטה - זה נשמע כמו אבטחה מעפנה אך שתצפה בקודים תבין שזה מעולם אחר.

19-11-11, 21:33	# 5
Tal. חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Dec 2010 הודעות: 463	יישר כוח, חשבתי לבנות פעם כזאת אבל גיליתי שזה המון עבודה. יש אתר שכבר עובד עם המערכת שנוכל לבדוק?

19-11-11, 21:35	# 6
Perfect חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Jun 2010 הודעות: 310	מה המחיר?

19-11-11, 21:49	# 9
Tal. חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Dec 2010 הודעות: 463	אפשר לזייף בקשה של דפדפן ממש בקלות. אין לך באמת דרך לדעת.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)