לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה אבטחת המערכת
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 23-08-2011, 22:59
  משתמש זכר tsachibenezra tsachibenezra אינו מחובר  
 
חבר מתאריך: 06.06.07
הודעות: 749
אבטחת המערכת
מה המצב

הרבה שואלים אותי האם המערכת שבניתי מאובטחת...

אני לא מגיע מעולם האקינג... איך אני יכול ליכול לדעת האם המערכת שלי מאובטחת

המערכת שאני בונה נבנת על בפריימוורק של codeigniter

כל המעררכת עוברת ולידציה ב JS ולאחר מכן גם ב PHP

כל נתון שצריך להיכתב ב DB עובר בדיקת XSS

אשמח לדעת האם יש עוד דברם חשובים שאני צריך לעבוד עליהם

תודה
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 24-08-2011, 00:17
צלמית המשתמש של Eran
  משתמש זכר Eran Eran אינו מחובר  
 
חבר מתאריך: 27.02.02
הודעות: 4,536
שלח הודעה דרך ICQ אל Eran
בתגובה להודעה מספר 1 שנכתבה על ידי tsachibenezra שמתחילה ב "אבטחת המערכת"
איפה ההתייחסות שלך כאן לאבטחה?


נתחיל בהרשאות. איך אתה מבדיל בין כניסת מנהל לכניסת משתמש ללא הרשאות או אורח?
עוגיות? סיישן? מידע בכתובת?
איך את שומר את המידע?

כל מקום שאתה מבצע פעולות עם המסד נתונים ויש התייחסות למידע חיצוני, כמו הרשמה לאתר. אתה חייב לוודא שהמשתמש יכניס רק נתונים תקניים ולא קוד HTML או SQL INJECTION כלשהו.

זה גם ל PHP וגם לJS. כבר ראיתי כמה אתרים שלא מתייחסים לקוד JS מספיק ברצינות :/


ודבר נוסף זהו SSL/TLS תקשורת מאובטחת בין המשתמש לאתר.



אולי יש עוד בעיות... מי שמכיר שידבר.
לדעתי דנו פה בפורום ובPHP הרבה בנושא תערוך חיפוש...
_____________________________________

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://fresh.clanteam.com/list.png]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://fresh.clanteam.com/?https://2010-uploaded.fresh.co.il/2010/09/21/52868411.gif,http://www.boredpanda.com/blog/wp-content/themes/mimbo2.2/images/subscribe-panda-605px.png]

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 24-08-2011, 09:38
  משתמש זכר tsachibenezra tsachibenezra אינו מחובר  
 
חבר מתאריך: 06.06.07
הודעות: 749
בתגובה להודעה מספר 2 שנכתבה על ידי Eran שמתחילה ב "איפה ההתייחסות שלך כאן..."
הרשאות יש
SQL INJECTION יש

בגדול הדבר היחד שאני שומר בסיישן זה את ה ID של היוזר ואת ההרשאה שלו

על כל המידע שעובר ב URL יש ולידציה... לא מתקבל נתון לא מוכר

הURL שלי נראת כך

domain/lang/key/value/key/value/key/value

key/value כמה שצריך

SSL/TLS זה אמור להשתלב רק באתרי מכירות לא?!?!

וכמובן שאם יוזאר לא LOGIN יש נתונים שהוא לא יכול לראות...

אני שומע הרבה אנשים שלא מכירים את המערכת שלי או ראו אותה
"אני בטוח שאני יכול לפרוץ לך אותה"

כאילו אם אני לא משתמש בוורדפרס גומלה או דרופל זה לא טוב...

הדברים האלו אלו דברים בסיסיים בשלוף שהמערכת מבצעת אני בטוח שיש עוד דברים שהיא מאבטחת

אשמח שתרשמו פה רשימה על איזה דברים מאוד חשוב לשמור.. בנושא אבטחה

תודה לעוזרים
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 24-08-2011, 13:26
צלמית המשתמש של Eran
  משתמש זכר Eran Eran אינו מחובר  
 
חבר מתאריך: 27.02.02
הודעות: 4,536
שלח הודעה דרך ICQ אל Eran
בתגובה להודעה מספר 3 שנכתבה על ידי tsachibenezra שמתחילה ב "הרשאות יש SQL INJECTION יש..."
לא התכוונתי לשאלות של כן\לא.
אלו הנקודות הקריטיות שדרכם אפשר להוציא ממך מידע שמור.
ה"יש ויש" לא תורם כאן לדיון בכלל. אם עשית את זה בצורה לא טובה אז הוא לא מאובטח.


למשל, ב"מידע חיצוני" (זו הגדרה שלי) זו הכתובת אותה נתת כדוגמא.
אתה צריך לודא שאם אני מכניס ערכים אחרים לשם אז אני יוכל להכנס אליהם רק אם באמת יש לי גישה אליהם.
אין צורך שתענה לי בכן\לא. זה הקוד שלך ואין לי מושג מה עשית שם.
אתה יכול להעלות לכאן דברים ספציפיים או כמו שכבר הצעתי לך לחפש מאמרים שקיימים ברשת בנושא.


וכמובן המבחן המעשי. לתת לאנשים לבדוק את האתר.
_____________________________________

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://fresh.clanteam.com/list.png]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://fresh.clanteam.com/?https://2010-uploaded.fresh.co.il/2010/09/21/52868411.gif,http://www.boredpanda.com/blog/wp-content/themes/mimbo2.2/images/subscribe-panda-605px.png]

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 24-08-2011, 13:42
צלמית המשתמש של asx
  משתמש זכר asx asx אינו מחובר  
 
חבר מתאריך: 07.10.04
הודעות: 373
בתגובה להודעה מספר 3 שנכתבה על ידי tsachibenezra שמתחילה ב "הרשאות יש SQL INJECTION יש..."
תוודא רק שאתה מגריל session id חדש כל הזמן.. אחרת אתה חשוף כאן לפירצה..
היה על זה הרבה בלאגן בתחילת השנה כאשר יצאו האפליקציות לכרום שפשוט השתלטו על sessions שרצו באותו חיבור (לצורך העניין אותו חיבור wifi)
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 25-08-2011, 12:26
  משתמש זכר tsachibenezra tsachibenezra אינו מחובר  
 
חבר מתאריך: 06.06.07
הודעות: 749
בתגובה להודעה מספר 5 שנכתבה על ידי asx שמתחילה ב "תוודא רק שאתה מגריל session..."
תודה
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 17:06

הדף נוצר ב 0.04 שניות עם 12 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר