Ar Svetaine Tikrai Apsaugota?

sveiki, esu dar naujas programavime todel noriu paklausti ar yra koks budas patikrinti savo scripto pazeidziamuma injekcijoms?

Suprasti injekciju veikimo mechanizma.

Escapink string'us, kuriuos įveda user'is. Tam yra mysql f-ja:

mysql_real_escape_string

Escapink string'us, kuriuos įveda user'is. Tam yra mysql f-ja:

mysql_real_escape_string

Čia ne patikrinimas, o apsauga. :)

Na, o šiaip reikia paskaityti apie banaliausias atakas - SQL injection, XSS ir pan., pritaikyti apsaugos metodus. Žinoma, priklausomai nuo kodo, gali būti įvairių kitų skylių. Na, serveris turėtų būti apsaugotas už tave, jei shared hostinge talpiniesi :)

Čia ne patikrinimas, o apsauga. :)

 

Na, o šiaip reikia paskaityti apie banaliausias atakas - SQL injection, XSS ir pan., pritaikyti apsaugos metodus. Žinoma, priklausomai nuo kodo, gali būti įvairių kitų skylių. Na, serveris turėtų būti apsaugotas už tave, jei shared hostinge talpiniesi :)

Ne nu aš supratau, kad jis apsaugos būdų ieško. Nes jei ne, tai paprasčiausiai mėgint daryt SQL injekciją ir viskas.

Ir taip jau escape'nu ir strip'nu visus ikelimus ir pajemimas is duomenu bazes taciau man idomu ar to uztenka?

Ir taip jau escape'nu ir strip'nu visus ikelimus ir pajemimas is duomenu bazes taciau man idomu ar to uztenka?

Bandyk sita programa. Galima nesunkiai rasti ir nulauzta versija.

Pats nedaug nusimanau apie programavima, todel nezinau ant kiek ji veiksminga. Esu skenaves kelis puslapius, tai spragu visada randa :)

Yra - sumoki man 2k ir atlieku auditą :D

Yra vienas Kauniškis, tai tikrai specas, Bandė mano vieną projektą nukalti ant originalios tvs nelabai kas pavyko. Šiaip jei rimtas projektas tai nemanau kad 2K LT yra dideli pinigai už saugumą. Veinas naujienų portalas yra sumokėjęs daugiau kaip 100K lt už auditą ir tai be jokių veiksmų.

Yra vienas Kauniškis, tai tikrai specas, Bandė mano vieną projektą nukalti ant originalios tvs nelabai kas pavyko. Šiaip jei rimtas projektas tai nemanau kad 2K LT yra dideli pinigai už saugumą. Veinas naujienų portalas yra sumokėjęs daugiau kaip 100K lt už auditą ir tai be jokių veiksmų.

Pakankamai apmaudu, kai įmonės išleidžia kosmines sumas projektui sukurti, bet pagaili kelių pinigų už pranešimą apie spragą, kuri galėjo sunaikinti jų verslą. Yra kaip yra. Gal kažkada pasikeis jų požiūris į tai :)

Pakankamai apmaudu, kai įmonės išleidžia kosmines sumas projektui sukurti, bet pagaili kelių pinigų už pranešimą apie spragą, kuri galėjo sunaikinti jų verslą. Yra kaip yra. Gal kažkada pasikeis jų požiūris į tai :)

Keik teko vartyti Lietuviškų TVS visos turi tonas spradų saugume pvz paliekami atvirai failai duombazei sumaišyti, taip pat moduliai kainuoja kosminius pinigus, realiai už tą kainą kiek sukiši į nebeigtą produktą tai savam naudojimui geriau imti programerius ir susikurti savo tvs'ą pagal preikius projektuoijant visas funkcijas, taip pat užsakant įvairiausius saugumo testus, aišku tai gali užtrukti iki 1m laiko tačiau baigtinis variantas bus žymiai geresnis nei kitų. Turiu pažystamą kuris į projektus įnvestuoja ne po 1k ar 10k ir visvien tvs'ai turi pilna spragų.

Keik teko vartyti Lietuviškų TVS visos turi tonas spradų saugume pvz paliekami atvirai failai duombazei sumaišyti, taip pat moduliai kainuoja kosminius pinigus, realiai už tą kainą kiek sukiši į nebeigtą produktą tai savam naudojimui geriau imti programerius ir susikurti savo tvs'ą pagal preikius projektuoijant visas funkcijas, taip pat užsakant įvairiausius saugumo testus, aišku tai gali užtrukti iki 1m laiko tačiau baigtinis variantas bus žymiai geresnis nei kitų. Turiu pažystamą kuris į projektus įnvestuoja ne po 1k ar 10k ir visvien tvs'ai turi pilna spragų.

Už simbolinę kainą galėčiau padėti jam tas spragas aptikti. Apmokėjimas po aptikimo, tai jei domina, galiu padėti :)

Keik teko vartyti Lietuviškų TVS visos turi tonas spradų saugume pvz paliekami atvirai failai duombazei sumaišyti, taip pat moduliai kainuoja kosminius pinigus, realiai už tą kainą kiek sukiši į nebeigtą produktą tai savam naudojimui geriau imti programerius ir susikurti savo tvs'ą pagal preikius projektuoijant visas funkcijas, taip pat užsakant įvairiausius saugumo testus, aišku tai gali užtrukti iki 1m laiko tačiau baigtinis variantas bus žymiai geresnis nei kitų. Turiu pažystamą kuris į projektus įnvestuoja ne po 1k ar 10k ir visvien tvs'ai turi pilna spragų.

O dar geriau nekišti pinigų į closed source projektą, kurio palaikymas baigsis kai baigsis finansai. Neįsivaizduoju, kokie turi būti tie specifiniai poreikiai, kad būtų naudingiau koduoti nuo nulio kažkokį išskirtinį TVS negu imti kokį Wordpress (ar dar kokį open source produktą, kurio licenzija tai leis) ir jį modifikuoti taip, kaip reikia savo toms "išskirtinėms" reikmėms.

Nors matomai, bent jau viešasis sektorius irgi laikosi kde nuomonės - vos ne visi šito sektoriaus puslapiai sėdi ant closed-source (Idamo "Smart Web"). Nekomentuoju gerumo ar blogumo, nes neteko administruoti šios sistemos, bet gaila pasidaro pagalvojus kiek bereikalingai iššvaistyta pinigų per viešuosius konkursus...