Zabezpieczenia stron

Odpowiedz Nowy wątek
2019-03-06 14:34
1

Witam, czy mógłby ktoś wymienić rodzaje zabezpieczeń jakich można użyć przy tworzeniu stron? W miarę proste, takie jak hashowanie haseł, zablokowanie możliwości logowania po x nieudanych próbach, captcha? Potrzebuję tego do której prezentacji a później do implementacji na prostej stronie. Z góry dzięki.

Pozostało 580 znaków

2019-03-07 12:52
0

@mefsh:

Pod pliki można jeszcze podciągnąć nie używanie nazw plików użytkownika do zapisywania i odczytywania ich z dysku, bo i w nazwie pliku da się wsadzić komendę php'ową która się odpali ;)

Moglbys rozwinac

edytowany 1x, ostatnio: marcio, 2019-03-07 12:53

Pozostało 580 znaków

2019-03-07 12:55
1
marcio napisał(a):

@mefsh:

Pod pliki można jeszcze podciągnąć nie używanie nazw plików użytkownika do zapisywania i odczytywania ich z dysku, bo i w nazwie pliku da się wsadzić komendę php'ową która się odpali ;)

Moglbys rozwinac

  1. Upload: haker_atak.php.
  2. Open: haker_atak.php.
  3. All your base are belong to us!

gópie smoki, znowy były szybsze ode mnie :P - cerrato 2019-03-07 12:58

Pozostało 580 znaków

2019-03-07 12:57
1

@marcio: ja to rozumiem w ten sposób, że jeśli użytkownik wrzuca plik o nazwie gole_zdjecia_stefana_mielno_2015.zip to Ty zapisujesz to na serwerze jako plik o nazwie file_98902745890_sdfjsdh.XYZ, ale jednocześnie umieszczasz w bazie informację, jak ten plik się pierwotnie nazywał, żeby potem była możliwość przywrócenia oryginalnej nazwy w chwili zwracania pliku użytkownikowi.


That game of life is hard to play
I'm gonna lose it anyway
The losing card I'll someday lay
So this is all I have to say
edytowany 2x, ostatnio: cerrato, 2019-03-07 12:59
no tak ale nie bardzo rozumiem co ma do tego "bo i w nazwie pliku da się wsadzić komendę php'ową która się odpali" - marcio 2019-03-07 13:01
a to co napisała smoczyca powyżej nie wyjaśnia tematu? - cerrato 2019-03-07 13:06
tym bardziej ze sciezki do takich plikow nie powinny byc latwe do znalezienia, 2 plikow php chyba nie powinno sie dac odpalac...kiedys na wielu cms-ach mozna bylo wrzucac shell'e php i robic nimi krzywde ;) - marcio 2019-03-07 13:11
no ale o blokadzie różnych typów plków oraz możliwości ich odpalania także pisała wcześniej smoczyca, prawda? - cerrato 2019-03-07 13:21
Dodatkowo prosta walidacja nazwy pliku może być zgubna i doprowadzić do tego że przepuścimy plik o nawie haker_atak.php%00.png, co przy zapisie utnie wszystko po %00 i zostawi samą nazwę haker_atak.php. Dalej sytuacja analogiczna do tego co przedstawiła smoczyca :) - mefsh 2019-03-07 14:38
dlatego moja nazwa w postaci file_98902745890_sdfjsdh.XYZ jest najbezpieczniejsza - cerrato 2019-03-07 14:44

Pozostało 580 znaków

2019-03-07 13:39
0

ale zwykle jak robisz upload plików to i tak jest walidacja, sanityzacja, określone rozszerzenia itp. ew. najlepiej skorzystać z zewnętrznego serwisu, analogicznie jak np. z systemem komentarzy, jakieś disqus i po sprawie, mogę se hakować do woli


Pozostało 580 znaków

2019-03-07 13:42
1

zwykle jak robisz upload plików to i tak jest walidacja, sanityzacja

No zależy, jak to zrobisz. Poza tym właśnie tego dotyczy ten wątek - jakie zabezpieczenia należy stosować, żeby było OK.


That game of life is hard to play
I'm gonna lose it anyway
The losing card I'll someday lay
So this is all I have to say

Pozostało 580 znaków

2019-03-07 14:00
0
czysteskarpety napisał(a):

skorzystać z zewnętrznego serwisu, analogicznie jak np. z systemem komentarzy, jakieś disqus i po sprawie, mogę se hakować do woli

Disqus rozwiązuje jeden problem, przynosząc w jego miejsce inne. No chyba, że lubisz znienacka zobaczyć na swojej stronie reklamy, lubisz jak obce skrypty zmieniając ci identyfikatory w linkach afiliacyjnych i blokują komentarze, za linkowanie do sjp.pl.


edytowany 1x, ostatnio: Freja Draco, 2019-03-07 14:00

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0