Witam
Zadam pytanie które już pewnie nie raz chodziło komuś po głowie. Mianowicie jak zabezpieczyć stronę WWW przed hakerami, różnymi atakami, na co zwrócić uwagę pisząc stronę, czy to się opłaca??
Właściwie to piszcie co wiecie ;P
Liczę na ożywioną dyskusje, tym bardziej że 4p jest bardzo dobrze zabezpieczone (chociaż tak można wnioskować po takich ewenementach co tymi DOS-ami ciągle próbują atakować:D )
Tematyka zabezpieczen jest bardzo szeroka i dotyczy zarowno serwera jak i samego kodu strony. Niejedna ksiazke o tym napisano wiec w dwoch slowach nie da sie tego zmiescic. Proponuje poczytac cos na ten temat.
Niestety romek ma rację
Na co zwrócić uwagę? Na technologię i na wyspanych, dobrych programistów. Żeby się zabezpieczyć, musisz umieć atakować. Musisz też na bieżąco śledzić wieści z sieci, aby móc na bieżąco aktualizować oprogramowanie i poprawiać kod (stąd wniosek, że stronka powinna być dobrze napisana).
Moim zdaniem się nie opłaca. Jeżeli komuś zlecisz to zapłacisz dużo, jeżeli sam chcesz się tym zająć to pewnie poświęcisz parę lat na zgłębienie tematu.
Chyba, że tworzysz stronkę dla banku. Wtedy się opłaca (zlecić).
Ogólna zasada jest jedna. Nie ufać użytkownikom. Poza tą regułą każde zalecenia będą dotyczyć specyficznego przypadku pisanej aplikacji.
Akurat atak DoS/DDoS jest atakiem bardziej na samą infrastrukturę sieciową niż na sam serwis internetowy i zabezpieczenia strony mają się nikle do możliwości obrony przed tego typu atakiem - tutaj już przychodzą z pomocą ludzie od sieci, a nie programiści PHP. Poza tym DoS jest zdecydowanie mało "skuteczne" - gdy ustanie atak ludzie mają znów dostęp do blokowanej witryny, żadnych szkód trwałych (z wyjątkiem ewentualnych finansowych). W odróżnieniu od np. SQL Injection, które w krytycznych przypadkach wymaga odtwarzania danych z kopii zapasowej.
A i samo 4p miało też błędy i konta użytkowników padły ofiarą ataków, zdarzyło się ;-)
Do klasycznych ataków na aplikacje webowe jako takie mamy dużo innych możliwości niż DoS: SQL Injection, XSS, CSRF, Mail injection, Directory traversal. Plus phishing w różnych odmianach aż do nawet użycia CSS na "dobrej" stronie w celu skierowania użytkowników na stronę wyłudzającą informacje.
http://www.beldzio.com/ i http://lukasz.pilorz.net/ polecam, sporo informacji o obronie.
Ktos napisał(a)
Poza tym DoS jest zdecydowanie mało "skuteczne" - gdy ustanie atak ludzie mają znów dostęp do blokowanej witryny, żadnych szkód trwałych
no nie byłbym tego taki pewien :> zdarza się wykorzystać ten atak trochę bardziej ambitnie
To zarazie raczej się tym nie będę zajmował ale pewnie jeszcze w przyszłości jakąś książeczce o tym kupie. Na razie trochę po necie może poszperam. Dzięki.
Jeżeli piszesz coś PHP + MySql to najpierw się zabezpiecz przed SQL Injection i XSS, bo bezpieczeństwo danych jest najważniejsze
wiem co to XSS ale mógłby ktoś wreszcie podać jakiś praktyczny przykład jakim cudem to można do czegokolwiek wykorzystać ?
co, podasz komuś linka na 1000 znaków ?
@up: Piszesz posta na forum z js, czy tez komentarz, tresc nie jest parsowana, wiec jest wyswietlane/uruchamiane. Mozesz wtedy zczytac id sesji (bo np. siedzi w cookie) i np. ajaxem wyslac sobie gdzies. Wchodzi admin i masz jego sesje. Wariantow do woli.