| | |
Autor | Správa |
---|
Registrovaný: 21.01.07 Prihlásený: 29.03.20 Príspevky: 660 Témy: 53 | |
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
Hodnoty sessionov by sa dali ukradnúť (aj zmeniť) tak, že si na hostingu a útočník tam má tiež konto. Ide na tvoju stránku, prihlási sa, v cookies si pozrie session_id. Na svojej stránke si nastaví ten istý session_id() a môže krásne prezerať skryté hodnoty, aj ich meniť.
Funguje to vďaka tomu, že session files sa ukladajú defaultne v /tmp, kam majú prístup aj ostatní zákazníci hostingovej spoločnosti.
Preto je lepšie používať nejaký session handling, napr. cez db a pod.
|
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 10.07.2008 11:55 | |
|
premazane od hovadin a zavadzajucich prispevkov
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 10.07.2008 13:45 | |
|
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 22.03.07 Prihlásený: 29.01.23 Príspevky: 15 Témy: 5 | Napísal kroky: 02.08.2008 23:40 | |
|
Potreboval by som poradiť s kódovaním php. Teda nie znakové sady, ale zakódovanie súboru, aby bežnému užívateľovi nebolo čitateľné. Niečo ako [http://www.phpshield.com/].
Nemáte skúsenosti, či zakódovaný súbor by spolupracoval (napr. ako plugin - nie je podmienka) s phpRS?
Tiež nemusí byť uvedený phpshield, ale v nejakej podobnej cenovej relácii.
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
staci addslashes a htmlspecialchars na ochranu pred SQL injection a xss ?
chcel som dat htmlentities, ale to mi rozhadzuje znaky ako copyright, trademark a podobne....
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 |
podľa mňa áno ... ako základ ti postačí ja potom ešte cez str_replace nahrádzam percentá a úvodzovky ...
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
dobry napad.. nahradzas za entity, ze ?
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | |
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 01.11.2008 10:14 | |
|
proti sql injection je vhodne pouzivat prepared statements.
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 08.01.2009 18:26 | |
|
nejake zaujimave citanie ohladom bezpecnostnych testov (v anglictine)
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
Som bol na prednáške, ktorú robil maník z owaspu. Keby ste niekedy niekde videli info o tom, že sa také čosi znova chystá, kašlite na všetko, aj keby ste zrovna mali ísť na pohreb, oplatí sa ísť.
_________________ neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 08.01.2009 18:47 | |
|
tiez som bol a mozem len odporucit.
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 16.10.08 Prihlásený: 26.07.16 Príspevky: 82 Témy: 12 | |
Registrovaný: 27.06.09 Prihlásený: 16.06.15 Príspevky: 154 Témy: 19 Bydlisko: Levice, Slo... | Napísal neXor: 25.08.2009 19:14 | |
|
co vravite na ochranu SESSION a na ochranu vstupu do administracneho panela? stretol som sa s vela nazormi a skoro nikto to nemal zabezpecene kompletne
|
|
Registrovaný: 21.01.07 Prihlásený: 29.03.20 Príspevky: 660 Témy: 53 | Napísal autor témy pepek92: 25.08.2009 19:20 | |
|
Nikdy nemôžeš vedieť, či sa niekomu nepodarí uhádnuť (príp. ukradnúť) heslo do administrácie. Bez ochrany to útočníkovi ešte uľahčíš.
|
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 |
No neviem čo si predstavuješ pod "ochranou" SESSION, ale rozhodne treba administráciu zabezpečiť .. a najlepšie kompletne, aj keď nikdy to nebude 100%, lebo to sa ani nedá Teda treba urobiť všetko čo sa dá
|
|
Registrovaný: 27.06.09 Prihlásený: 16.06.15 Príspevky: 154 Témy: 19 Bydlisko: Levice, Slo... | Napísal neXor: 27.08.2009 14:21 | |
|
mal som namysli, ze ako ochranujete SESSION alebo vstup do administracie... lebo vacsinou to robia ludia tak, ze daju do SESSION premennu prava = 1 a s tym kontroluju ci ma niekto prava na administraciu... podla mna to nieje velmi bezpecne
|
|
Registrovaný: 21.01.07 Prihlásený: 29.03.20 Príspevky: 660 Témy: 53 | Napísal autor témy pepek92: 27.08.2009 15:36 | |
|
Ja to robím tak, že pri každom načítaní stránky v administrácie skontrolujem všetky práva pomocou databázy. Session používam výlučne na identifikáciu užívateľa s ID relácie.
|
|
Registrovaný: 27.06.09 Prihlásený: 16.06.15 Príspevky: 154 Témy: 19 Bydlisko: Levice, Slo... | Napísal neXor: 27.08.2009 15:39 | |
|
aj ja, kontrolujem s databazou ale aj SESSION kontrolujem aj s IP a prehliadacom... ci sa shoduju ked sa prihlasoval a ked ide do administrativneho panela
|
|
Registrovaný: 01.07.08 Prihlásený: 02.10.09 Príspevky: 80 Témy: 26 |
No tak moja obrana je:
PHP - Blowfish HASH (256-bitov)
Zákaz uploadovania súborov s príponov: // Pokiaľ je to treba.
XHTML,JS,VBS,PHP,ActiveScript,PostScript.
Kontrola inputov:
htmlspecialchars();
mysql_real_escape_string();
addslashes();
Kontrola SESSIONS, GET, POST. // z 90-tich % používam POST.
Kontrola prístupu ku kódu pomocou define a defined (aj ja to mám z PHPBB).
Prístup LEN cez index.php.
Databáza kompletne s registračnými údajmi zaHASHovaná, hlavne: Nick,mail,password.
Pre posielanie citlivých dát, databáza.
|
|
Registrovaný: 13.06.09 Prihlásený: 28.01.23 Príspevky: 101 Témy: 15 Bydlisko: Prievidza | Napísal nejde: 27.08.2009 21:26 | |
|
Citácia: Prístup LEN cez index.php.
čo tým myslíš?
|
|
Registrovaný: 01.07.08 Prihlásený: 02.10.09 Príspevky: 80 Témy: 26 |
switch($stranka)
{
case 0:
break;
default:
Header("Location: index.php");
}
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
László145 píše: Databáza kompletne s registračnými údajmi zaHASHovaná, hlavne: Nick
WTF ?
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 21.01.07 Prihlásený: 29.03.20 Príspevky: 660 Témy: 53 | Napísal autor témy pepek92: 27.08.2009 22:04 | |
|
@blackshadow: Pravda, ja si to neviem predstaviť, všetko zahashované
|
|
Registrovaný: 06.03.08 Prihlásený: 01.10.12 Príspevky: 1732 Témy: 15 Bydlisko: triminka@sp... |
blackshadow: vlamem sa do serverovne, skopirujem si tvoju db. predpokladam ze mam nick a zahashovane heslo. skusim rainbow tables na heslo, podari sa, pouzijem nick + heslo a som dnu.
unho musis rozhashovat aj nick inak vie dost porobit bordel aj to, ked pouzijes nie klasicke hash funkcie (md5, sha1) a pouzijes odlisne na heslo aj na nick. nejedna sa o 100% ochranu, ale pokial utocnik nema superpc, tak kym sa mu podari utok uskutocnit tak by si mal byt schopny podniknut kroky proti -> napriklad modifikacia all hesiel a nasledny kontakt userov atp. (to som iba nacrtol)
//a hlavne je tam faktor "admin je debil pm," ked vidis ze niekto s nickom prasopes napise nieco podobne, ma to nanho neblahy vplyv pokial vidis ze to napisal "X4546Đ[]đ[][..." tak sa na to vybodnes:)
_________________ Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain... |
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
Triminka píše: blackshadow: vlamem sa do serverovne, skopirujem si tvoju db.
Alebo skopirujem php subor s prihlasovanim a zmenim ho, ako sa mi paci a si na tom istom Ked uz mam pristup k suborom, tak je to v riti tak ci tak..
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 06.03.08 Prihlásený: 01.10.12 Príspevky: 1732 Témy: 15 Bydlisko: triminka@sp... |
som myslel ze to s tym vlamanim pochopis
a ked uz ma pristup k suborom tak Jerk píše: kym sa mu podari utok uskutocnit tak by si mal byt schopny podniknut kroky proti
sic pravda ze som sa nevyjadril presne -> pod utokom som si tu predstavoval pristup ku vsetkym udajom v db a ich pouzitie.
a nema to nic s tym, ze "ale aj tak je to uz v keli." toto je zmiernovanie skod. kebyze buchnu mochovce a zamietnu evakuaciu s argumentom "aj tak su uz oziareny," tak by to moc nepreslo:)
_________________ Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain... |
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
Nick snáď nikto nehashuje. Okrem teba Proti rainbow tables sa používa salted hash. Hash nicku ti nepomôže v ničom, môže iba skomplikovať.
|
|
Registrovaný: 27.06.09 Prihlásený: 16.06.15 Príspevky: 154 Témy: 19 Bydlisko: Levice, Slo... | Napísal neXor: 28.08.2009 9:55 | |
|
ja hashujem iba heslo... nick email je kravina, ked niekto zabudne heslo tak ako zistim aky ma nick? nemam to s cim porovnat a ked on napise tak moze napisat aj inych
|
|
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| sprava PHP skriptov v PHP, ASP | 1 | 510 | 12.07.2009 13:00 p360t | | antispam ochrana na PHP forum v Redakčné systémy | 1 | 1666 | 28.03.2006 20:42 JanoF | | Výpis adresára cez PHP + Ochrana heslom v Články | 3 | 2778 | 27.04.2008 14:42 stenley | | Aka ochrana zariadenia (bleskoistka, prep. ochrana) v Siete | 2 | 478 | 06.10.2012 18:38 peto007 | | spam ochrana, sql ochrana v PHP, ASP | 14 | 849 | 08.01.2011 23:56 Feko | | Rezidentná ochrana vs. rezidentná ochrana v Antivíry a antispywary | 6 | 1146 | 23.04.2008 22:56 strongy | | PHP programátor - PHP, MySQL, jQuery,X)Html/CSS v Ponuka práce | 0 | 1309 | 02.05.2011 12:08 magicmedia | | Vytvorenie suboru php a vlozenie php scriptu v PHP, ASP | 4 | 1439 | 07.05.2010 14:02 DeiForm | | ochrana v Antivíry a antispywary | 8 | 1081 | 24.01.2008 14:20 mimkork | | ochrana [ Choď na stránku: 1, 2, 3 ] v Antivíry a antispywary | 73 | 3673 | 05.06.2008 15:51 Qpkqkma | | Ochrana v Antivíry a antispywary | 2 | 777 | 20.12.2007 12:42 shiro | | ochrana v Elektronika | 3 | 832 | 31.01.2008 16:53 bugi512 | | Prepatova ochrana v PC skrinky a zdroje | 1 | 666 | 17.11.2007 10:38 Hannibal_Bill | | Ochrana súkromia v Sociálne siete | 5 | 545 | 11.04.2017 18:07 patro16 | | Ochrana PC v PC skrinky, zdroje a všetky druhy chladenia | 9 | 428 | 24.07.2012 19:27 david3504 | | Ochrana textu v Ostatné programy | 5 | 316 | 05.04.2014 13:32 tatko Tom |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|