Weblap biztonság tesztelése
2006-04-24T10:08:51+02:00
2006-05-02T09:42:43+02:00
2022-07-19T06:22:41+02:00
  • bocs, akkor felreertettelek.
    en is probalom mindezt, csak nehez ugy.

    en Zend-et tamogatom amugy a szerveremen.
    Mutasd a teljes hozzászólást!
  • felreertesz
    bar nem tudom, konkretan melyik postomra irtad, de mivel eddig nem tudtam a beforditott php fajl hasznalatarol (mint kiderult ez nem is elerheto minden szerveren) ezert nem ertettem, hogy erti az illeto, hogy titkositja a php fajlokat.
    hisz ahhoz, hogy ertelmezze a php a fajlokat, plain text-nek kell hogy legyen, akkor meg igy-is ugyis elolvashato a forraskod(ha mas nem a szerver adminja altal).
    amugy en pont azon a velemenyen vagyok, hogy szigoruan vizsgalni es ellenorizni kell minden kulso forrasbol erkezo valtozot (meg a http headerbol erkezoket is)

    Tyrael
    Mutasd a teljes hozzászólást!
  • Nem kell tobb eroforras, foleg, hogy acceleratort is hasznalok.

    tyrael, ennyi erovel minden visszakodolhato, es ne is legyen semmi secure, mert ugy is valaki felnyomja, erdekes hozzaallas.
    Mutasd a teljes hozzászólást!
  • Nem túl jó ismerős, ha ilyesmivel visszaél
    Mutasd a teljes hozzászólást!
  • Bár minél többet gondolkodok, annál jobban jutok arra, hogy az egyik ismerősőm tudta meg a jelszavam, és most éppen ezzel akar felvágni.

    Mert a jelszó ismerete nélkül nem igazán lehet megszerezni a PHP-fileokat.
    Szemét.
    Mutasd a teljes hozzászólást!
  • feltolt egy php fajl


    Az adatbázisom nincs levédve SQL-injection ellen, de azzal elvileg csak az adataimat cseszhetné el.

    A feltöltött PHP-filet pedig kizártnak tartom, mert nem lehet fileokat feltölteni. De azért utána nézek.
    Mutasd a teljes hozzászólást!
  • amire mindig nagyon kell figyelni, az a latogatoktol erkezo adatok vizsgalata:
    pl. ha valahol az a cel, hogy a vendeg egy szamot irjon be, akkor vagy vizsgald meg, hogy tenyleg szamot irt-e be, vagy konvertald is elso lepeskent szamra.
    azokat a valtozokat, amelyeket pedig sql lekerdezesbe akarod hasznalni, azokat kulonosen ellenorizd.
    ugyanugy a fajl feltoltesekkel is vigyazz.
    mondjuk fogja az illeto, feltolt egy php fajl-t, ami annyit csinal, hogy kilistazza a tarhelyed tartalmat(fajlok, mappak), es le lehet tolteni, at lehet szerkeszteni vele a kodok forrasat.
    utana mar barmit csinalhat.

    Tyrael
    Mutasd a teljes hozzászólást!
  • Egyáltalán meg lehet szerezni a PHP fileokat úgy, hogy nincs meg a jelszó?
    Engedi a szerver valahogy letölteni őket, ha php a kiterjesztése és még nem adta át a PHP futtatómotornak?

    A jelszót pedig meg lehet szerezni valahogy BruteForceon kívül?
    Mutasd a teljes hozzászólást!
  • Str_replace helyett htmlentities vagy htmlspecialchars direkt erre lett kitalálva.
    Mutasd a teljes hozzászólást!
  • Azok nem törések. Az egyiket én írtam, a másikat vki más. De nem ott a baj. Egész egyszerűen vki megszerzte a PHP állományokat, és az egyik tartalmát (a kérésemre, úgyhogy hálás is lehetek neki) beírta a vendégkönyvembe, amit már 'kimoderáltam'. A következő hozzászólásban volt:


    Na itt a haborufeldolgozo.php: <biztonsági okokból moderálva>

    Csak azt nem tudom, hogy hogy szerezték meg a fileokat.
    Lehet, hogy a jelszót tudta?

    A < > ? [ ] karaktereket szerintem str_replace-val cseréld le. Én is elkezdtem átírni az összes kódomat,


    A kacsacsőröket lecserélem, a többit még nem. De nem hiszem, hogy ez a kiskapu. (De az is lehet, hogy csak a jelszót tudta. De szeretnék minden mást kizárni.)
    Mutasd a teljes hozzászólást!
  • Nem vágom. Az oldalad melyik részét törték fel? Én csak ennyi kódot találtam:
    <?php
    print "Törés";
    ?>
    ----
    <?php
    echo 'aaaaa';
    ?>

    Ebben holvan a feltörés? :)
    Sql befecskendezéssel nem lehet fájloklat listázni, csak ha sql sorokban tárolod őket. Kezdem átlátni az sql injection lényegét. :)
    A < > ? [ ] karaktereket szerintem str_replace-val cseréld le. Én is elkezdtem átírni az összes kódomat, így talán nagyobb a védelem.
    Jól mondom fiuk? :)
    Mutasd a teljes hozzászólást!
  • Amikre gondoltam:
    -SQL injection: Ezzel nem lehet fileokat kilistáztatni, ha jól tudom.
    -PHP-kód beírása: A < és > jeleket lecserélem.
    -Más ötletem nincs.

    Azt még tudom, hogy prog.hu-s az illető, mert innen ment oda eredetileg, és tulajdonképpen hálás lehetek neki, mert egy biztonsági résre felhívta a figyelmem. Csak azt nem tudom, hogy a szerveré(nem hiszem), vagy a PHP-kódot csesztem így el. (Ezt se. Ekkora rést nem is tudom, hogy hogy lehet véletlenül írni.)

    Vagy Brute-Force: De az meg dög lassú.

    De ha vmi rossz, akkor az inkább a PHP-kód, mint a szerver.
    Mutasd a teljes hozzászólást!
  • Hy. Épp most néztem, hogy felnyomták az oldalamat. Méghozzá a PHP kódomat szerezték meg. A link itt van.

    A vendégkönyvembe beírták a PHPkódomat.

    Itt is megkérdezem: Csak a szerver hibája, vagy én csesztem el vmit nagyon a php-scriptben?

    Próbáljátok meg légyszi ti is feltörni, és nézétek meg, hogy mik a gyenge pontjai, mert nekem kb itt áll meg a tudomány.
    Mutasd a teljes hozzászólást!
  • 3 mp helyett 2 percel elöbb postoltad ide be a szöveget. Még annyit hozzákötöttem, hogy péntek van, nehéz volt a hét és hajlamos vagyok arra, hogy nem azt írom, amit akarok.
    A másik, hogy üzenő falat írok, majd bedobom ide, hogy teszteljétek le mennyire biztonságos
    Mutasd a teljes hozzászólást!
  • Egy mukkot sem értek.
    Mutasd a teljes hozzászólást!
  • Djcomplex, akarommondani 2 percel... miközben gépeltem :) Hiába, kő kemény péntek. Ezerrel írom az üzenőfalat, majd bedobom ide, hogy nézzétek át, miután készen van.
    Mutasd a teljes hozzászólást!
  • Szerinte ne merészelj!
    Mutasd a teljes hozzászólást!
  • tehat ingyenes szerveren ne szamitsak ilyesmire. :)

    Tyrael
    Mutasd a teljes hozzászólást!
  • Fizetőseken esetleg zend optimizert tesznek fel. Inyé' megy az.
    Mutasd a teljes hozzászólást!
  • ezt most nemertem.
    ezek szerint fel lehet tolteni a parse-olt php scriptet is?
    ez free szervereken is mukodik?


    Giving PHP the edge
    So now you know what PHP is, what it does, and how to port to it-but here's the really cool part. You can compile your PHP code for even greater security and performance by deploying the Zend Encoder Unlimited. Other Zend products, some native to PHP, preparse and optimize code on the fly and have extensive caching capabilities. Compared to Microsoft's IIS, the Zend Encoder's license fee is very simple and relatively cheap, and the Encoder offers better performance and higher portability.

    Erröl eddig nem is tudtam. :)

    The downside of this approach is that a special extension has to be installed on the server in order to run encoded scripts.

    Some of the commercially available PHP encoders: Zend Safeguard, Sourceguardian PHP Encoder, ionCube PHP Encoder and phpShield.

    Ezek a kiterjesztesek mennyire elterjedtek a webszervereken? Free tarhelyen elerhetoek? Vagy csak a fizetoseken?

    Tyrael
    Mutasd a teljes hozzászólást!
  • Nem.
    Mutasd a teljes hozzászólást!
  • Köszi djcomplex. Épp csak 3mp-vel előztél meg :)
    Mutasd a teljes hozzászólást!
  • Egy napi x százas látogatottságnál gondolom a szervernek sem lenne mindegy a kódolás. Azt értem, hogy biztosan több erőforrás kellene a szervernek, mintha nincs kódolás. Nem igaz? :)
    Mutasd a teljes hozzászólást!
  • Az ilyen titkosítók pont, hogy gyorsítják a működést, mert "gépi kódra" (nem jut eszembe a neve php esetén) fordítják a kódot.
    Mutasd a teljes hozzászólást!
  • mit ertesz php lekodolasa alatt?
    marmint futasnal vissza kell fejtened, ami egyreszt lassitja az oldal mukodeset, masreszt a visszafejtesbol kiderul, hogy milyen modon titkositottad, marmint annak, aki fizikailag hozzafer a fajljaidhoz.
    persze erdemes azon elgondolkodni, hogy a jatekokat is rendszeresen megtorik, pedig ott csak a beforditott kodot latod, nem a forrast, es sokkal nagyobb cegek allnak mogotte sokkal nagyobb penzugyi hatterrel, mint akik megtorik...

    Tyrael
    Mutasd a teljes hozzászólást!
  • Jahh. Értem, vágom. Hát, ha másik szerveren lennének a cuccaim, akkor valóban aggódnék is, de így tuti nem ressz rossz álmom :)
    Mutasd a teljes hozzászólást!
  • nyilvan sem ideje, sem kedve jelszavak utan kutatni, csak egy lehetoseg elotted.
    Mutasd a teljes hozzászólást!
  • Köszi .zolo!
    Nem hiszem, hogy számítana, ha a hostoló hozzáférne a jelszóhoz, mert nem az a célja, hogy adatokat lopjon a saját szerveréről. Tehát, akitől a leginkább nem tartok, az a szerver admin. Minden esere az error_reportingot kipróbálom és majd lesz valami.
    Mutasd a teljes hozzászólást!
  • ha hibat akarsz keresni a php kododban, akkor ket uton teheted meg, vagy a kodot tartalmazo file elejere irsz olyat, hogy
    error_reporting (E_ALL);
    ini_set("display_errors","1");
    vagy .htaccess-szel hasonlot csinalsz:
    php_admin_value error_reporting 7
    php_flag display_errors on

    persze htaccesshez is kell jog.
    Mutasd a teljes hozzászólást!
  • "De csak azért elvileg, mert a hostoló rendszergazda hozzáfér a jelszavadhoz"

    erre talaltak ki a php lekodolasat.
    Mutasd a teljes hozzászólást!
abcd