Пн, 20.05.2019, 18:56
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

 
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

  • Сторінка 1 з 3
  • 1
  • 2
  • 3
  • »
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt  
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.6 Шкільний сайт, обговорення сайтів » Захист сайтів (Як захистити свій сайт?)
Захист сайтів
Чи підтримуєте ви взлом сайтів?
1.Категорично ні.[ 9 ][39.13%]
2.Ні.[ 5 ][21.74%]
3.Так.[ 2 ][8.70%]
4.Так, тільки в разі перевірки захисту.[ 7 ][30.43%]
Усього відповідей: 23
Varkan Дата: Вт, 26.02.2008, 09:12 | Повідомлення № 1
Викладач ВУЗу
Повідомлень: 425
Нагороди: 0
Рейтинг: 6
На даний момент в мене стоїть задача розробити сайт навчального закладу. Які є способи захисту сайтів?
(Вирішив створити тему після того, як поламали сайт Sasyka)


[admin]Шановні форумчани!!!!!
Повідомлення, які не відповідають темі або несуть некорисний зміст будуть видалятись без попередження!!!


Відредаговано: W-w-W - Пт, 08.01.2016, 18:28
Sasyk Дата: Вт, 26.02.2008, 09:25 | Повідомлення № 2
знаток тестуючих систем
Повідомлень: 300
Нагороди: 0
Рейтинг: 9
Хотів створити такий розділ, але ви мене випередили. Молодець... Цей розділ думаю буде дуже корисний для вчителів, що полюбляють веб-програмування.
Надіюся нашим постійним консультантом буде Jokerz

Цікавить на даний момент виставлення прав користувачам проекту...
Хто знає що воно таке... діліться surprised
Varkan Дата: Вт, 26.02.2008, 09:39 | Повідомлення № 3
Викладач ВУЗу
Повідомлень: 425
Нагороди: 0
Рейтинг: 6
Quote (Sasyk)
Хотів створити такий розділ, але ви мене випередили.

Один з методів математики - це постановка проблеми.
Проблема уже є, потрібно її вирішувати.

До речі свій сайт ви збираєтесь відновлювати? Адже там були непогані матеріали.

Відредаговано: Varkan - Вт, 26.02.2008, 09:42
Sasyk Дата: Вт, 26.02.2008, 09:49 | Повідомлення № 4
знаток тестуючих систем
Повідомлень: 300
Нагороди: 0
Рейтинг: 9
Матеріали збереглися, але цей сайт відновлювати не варто... як я вже говорив, він дійсно зовсім не захищений... Тому морочитися для того, щоб його знову зламали не варто... Створюю новий проект (захищений)... думаю замінити...
Як я говорив, цей сайт був не стільки проектом, скільки перевіркою вмінь і навичок після 3-х місячного вивчення PHP, тому самі розумієте... Там зовсім не те що треба... wink
Spirit Дата: Вт, 26.02.2008, 10:31 | Повідомлення № 5
Сис.адмін
Повідомлень: 406
Нагороди: 1
Рейтинг: 25
Хорошоая тема.
Думаю основные настройки и шаги безопасности напишет Женя (Jokerz), у него действительно в это деле большой опыт.

Пожалуй я могу начать.

- В РНР есть опция RegsterGlobals - ее лучше выключать, так как она позволяет через метод GET вносить значения переменных в скрипт.
- Методы передачи даных POST и GET. GET - данные передаются в URL-адресе, их видно в адресной строке браузера. POST - данные передаются через поток ввода/вывода браузера.
В любом из этих методов передачи данных от клиента к серверу данные в скрипте нужно проверять. Одним из способов взлома есть передача в переменной, SQL-запроса к базе данных. Так что всё что ввел пользователь и всё что идет от него нужно фильтровать.

Sasyk Дата: Вт, 26.02.2008, 10:47 | Повідомлення № 6
знаток тестуючих систем
Повідомлень: 300
Нагороди: 0
Рейтинг: 9
Quote (Spirit)
Хорошоая тема. Думаю основные настройки и шаги безопасности напишет Женя (Jokerz), у него действительно в это деле большой опыт.

Пожалуй я могу начать.

- В РНР есть опция RegsterGlobals - ее лучше выключать, так как она позволяет через метод GET вносить значения переменных в скрипт. - Методы передачи даных POST и GET. GET - данные передаются в URL-адресе, их видно в адресной строке браузера. POST - данные передаются через поток ввода/вывода браузера. В любом из этих методов передачи данных от клиента к серверу данные в скрипте нужно проверять. Одним из способов взлома есть передача в переменной, SQL-запроса к базе данных. Так что всё что ввел пользователь и всё что идет от него нужно фильтровать.


Ви хочете сказати, що якщо виключити RegіsterGlobals то неможливо буде передавати GET-запити?

Добавлено (26.02.2008, 10:47)
---------------------------------------------
Get-запит, в основному найкращий спосіб передачі даних (як на мене)... Те, що користувач дійсно може змінити GET-запит - це мінус, але при перевірці вхідних даних можна їх відфільтрувати...
Мені здається, що в деяких випадках тільки GET може допомогти... навіть у випадку завершення сесії...

Ковальчук_Олександр Дата: Вт, 26.02.2008, 15:20 | Повідомлення № 7
Ветеран спілкування
Повідомлень: 3705
Нагороди: 18
Рейтинг: 209
Quote (Sasyk)
Те, що користувач дійсно може змінити GET-запит - це мінус, але при перевірці вхідних даних можна їх відфільтрувати...

Я бачу, ви тільки зараз це зрозуміли. Я дуже слабо розбираюсь в PHP, але так зрозумів, що у вас не фільтрувалася інформація, що завантажує на сайт користувач і хакер, що ломанув ваш сайт елементарно завантажив на сайт php-скрипт, який зробив своє діло.
Якщо в Укозі дозволити користувачам html в повідомленнях, то вони також можуть якимось ява-скриптом ломанути сайт. Чи я помиляюсь?
Sasyk Дата: Вт, 26.02.2008, 16:00 | Повідомлення № 8
знаток тестуючих систем
Повідомлень: 300
Нагороди: 0
Рейтинг: 9
Так... Він просто завантажив PHP скрипт... А там діло техніки...
Загалом самою явою нічого поганого вам не зроблять...
Ява обробляє кінцевий результат (інформацію в броузері), тому нашкодити не може...
Загалом попортити інформацію на сервері може PHP тому що файли PHP живуть і працюють на сервері, відповідно все, що там не захищене вони можуть опрацьовувати...
Ковальчук_Олександр Дата: Вт, 26.02.2008, 16:34 | Повідомлення № 9
Ветеран спілкування
Повідомлень: 3705
Нагороди: 18
Рейтинг: 209
Як добре, що Укоз не пітримує php. smile
Sasyk Дата: Вт, 26.02.2008, 16:38 | Повідомлення № 10
знаток тестуючих систем
Повідомлень: 300
Нагороди: 0
Рейтинг: 9
Quote (Ковальчук_Олександр)
Як добре, що Укоз не пітримує php.

Як це не підтримує? А на чому ж все написано surprised
Ковальчук_Олександр Дата: Вт, 26.02.2008, 17:53 | Повідомлення № 11
Ветеран спілкування
Повідомлень: 3705
Нагороди: 18
Рейтинг: 209
Фірменний двіжок від Укоза.
Для покращення функціональності і налаштування сайту (форуму) під свої потреби можна використовувати власні ява скрипти і ніякого php.
На даний сайт не можна залити php.
Сервіси Ucoz не використовують MySQL чи інші бази даних і від цього їхні сайти більш безпечніші.
На мою думку форум в Ucoz ні чим не уступається відомим Invision Power Board, Vbellutin чи phpBB.
Десь читав, що в php, якщо не поставити елементарно "/", то сайт можуть із-за цього взломати. Тому в php потрібно досконало розбиратись, а вже потім створювати сайт. Ну, приклад ми вже маємо, чи не так Sasyk? happy happy
Jokerz Дата: Вт, 26.02.2008, 18:18 | Повідомлення № 12
Хостер
Повідомлень: 1240
Нагороди: 7
Рейтинг: 146
Quote (Ковальчук_Олександр)
Фірменний двіжок від Укоза.Для покращення функціональності і налаштування сайту (форуму) під свої потреби можна використовувати власні ява скрипти і ніякого php.На даний сайт не можна залити php.Сервіси Ucoz не використовують MySQL чи інші бази даних і від цього їхні сайти більш безпечніші.На мою думку форум в Ucoz ні чим не уступається відомим Invision Power Board, Vbellutin чи phpBB.Десь читав, що в php, якщо не поставити елементарно "/", то сайт можуть із-за цього взломати. Тому в php потрібно досконало розбиратись, а вже потім створювати сайт. Ну, приклад ми вже маємо, чи не так Sasyk?

Вы кардинально не правы, система укоза написана на php с использованием для хранения базу данных MySQL !!!
Не возможно загружать php в те каталоги где этого не придусмотрено. А зделано это для того что не было возможность взломать сайт. поскольку система бесплатна и любой может получить свой аккаунт.
Ковальчук_Олександр Дата: Вт, 26.02.2008, 19:27 | Повідомлення № 13
Ветеран спілкування
Повідомлень: 3705
Нагороди: 18
Рейтинг: 209
Я знаю, що сама система Укоз написана на php, я цього не заперечую.
Але жодний користувач (що платний, що безплатний) не має можливості використовувати php на своїх сайтах із-за міркувань безпеки. Тому що на php сайти можуть писати тільки веб-програмісти, а користувачі системи укоз - це переважно люди, які погано розуміються на веб-програмуванні (я, наприклад). Я вважаю, що знання мови php мені поки що не потрібно і, можливо, взагалі не пригодиться. Тому для мене (вчителя інформатики) і для сотні тисяч користувачів ucoz.ru - ідеальний хостінг, нове покоління веб-сервісів.
Spirit Дата: Ср, 27.02.2008, 11:39 | Повідомлення № 14
Сис.адмін
Повідомлень: 406
Нагороди: 1
Рейтинг: 25
Quote (Sasyk)
Ви хочете сказати, що якщо виключити RegіsterGlobals то неможливо буде передавати GET-запити?

Нет, GET-запросы будут работать при выключенном параметре. Просто нельзя будет через GET-запрос изменить значение переменных в РНР-скрипте. В документации всё подробно описано. Документацию можно скачать на русском языке на официальном сайте http://www.php.net/download-docs.php

Jokerz Дата: Пн, 12.05.2008, 14:50 | Повідомлення № 15
Хостер
Повідомлень: 1240
Нагороди: 7
Рейтинг: 146
RegіsterGlobals off - с этим полностью согласен и у нас на серверах все так и стоит. Хотя при большом желаниии или по требованию клиента меняем для его аккаунта как ему угодно.

Додано (12.05.2008, 14:50)
---------------------------------------------
на днях откопал у себя видео свое же smile раньше как то записывал. Вообщем интересно будет для демонстрации реального взлома методом SQL инъекции в базу данных.
Видео снимал год назад и даже на то время такая уязвимость была уже залатана но еще встречалась на сайтах smile
И так:
Система сайта: php-nuke 7.9
php 5 Mysql 5
Результат: получения прав админа на системе
До того как записать видео было затрачено часа 4 smile что бы найти и заюзать ее, спустя месяц увидел по сайтам что такая бага уже 2 года назад была обнаружена.
Вообщем ошибки админа стояли ему сайта:
http://wishhost.net/111.zip

Внимание! Данное видео не является подстрекательством к взлому а просто демонстрацию взлома системы в реальной жизни. Будет интересно как програмистам так и просто людям не представляющим как происходит взлом.

Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.6 Шкільний сайт, обговорення сайтів » Захист сайтів (Як захистити свій сайт?)
  • Сторінка 1 з 3
  • 1
  • 2
  • 3
  • »
Пошук:


© Форум інформатиків України, 2007-2019.