Archívum - Ápr 24, 2013
A weboldalak veszedelmei
A modern, mai világban nélkülözhetetlen egy weboldal megléte akár magánszemélyeknek, akár más intézményeknek, esetleg cégeknek. A honlapoknak, mint azt már tudjuk, két típusa létezik. A dinamikus és a statikus. Statikus oldal esetén nem szükséges komolyabb védelem az oldalnak, esetleg a szervernek túlterhelési kockázatok miatt.
Dinamikus oldalak esetén ez már teljesen más. Alapvetően a hackerek és crackerek nem egyből a szerver próbálják meg valamilyen úton módon befolyásolni, feltörni, hanem apró trükkökkel próbálkoznak először. Ebben a rövid leírásban megpróbálom belesűríteni mindazon módszereket, melyek ebbe az apró trükkök kategóriába tartoznak.
Ha megtervezünk egy weboldalt, akkor ajánlott három részre osztani. Statikus szerver, root-on belül és root-on kívüli fileok. Egy rossz web kliens beállítás esetén az egész oldal tartalma letölthetővé válik. Ennek elkerülése érdekében a feldolgozó fájlokat érdemes a root könyvtáron kívül elhelyezni. Ennek hátránya, hogy a fájlok elején egy – két sorban meg kell hívni a feldolgozó fájlokat, ha dolgozni szeretnénk velük.
Következő nagy probléma az adatbázisok inject-elése (befecskendezése). Ezzel a módszerrel a hacker lekérheti az egész adatbázis tartalmát mindössze egy sorral, melyek a header vagy input adatokba injektálnak be. Ez ellen három beépített függvénnyel védekezhetünk. Mysql esetén: mysql_real_escape_string , htmlspecialchars , valamint strip_tags . Mysqli esetén mysqli_real_escape_string , valamint az előző függvények. Ezek biztosítanak egy alap védelmet inject ellen, de ennél komolyabb funkciók kellenek. Ezek a függvényeket érdemes kombinálni, egymást kiegészíteni, valamint szűrni a mysql, mysqli parancsokat. (union, update…).
Nagyobb gondot szoktak jelenteni az XSS behatolások. Itt általában egy scriptet injektálnak az oldalba, mely lehet pl. egy hirdetés… Amire ha a felhasználó rákattint, akkor egyszerűen ellophatja annak sütijeit, azonosítóit.
Dinamikus oldalak esetén ez már teljesen más. Alapvetően a hackerek és crackerek nem egyből a szerver próbálják meg valamilyen úton módon befolyásolni, feltörni, hanem apró trükkökkel próbálkoznak először. Ebben a rövid leírásban megpróbálom belesűríteni mindazon módszereket, melyek ebbe az apró trükkök kategóriába tartoznak.
Ha megtervezünk egy weboldalt, akkor ajánlott három részre osztani. Statikus szerver, root-on belül és root-on kívüli fileok. Egy rossz web kliens beállítás esetén az egész oldal tartalma letölthetővé válik. Ennek elkerülése érdekében a feldolgozó fájlokat érdemes a root könyvtáron kívül elhelyezni. Ennek hátránya, hogy a fájlok elején egy – két sorban meg kell hívni a feldolgozó fájlokat, ha dolgozni szeretnénk velük.
Következő nagy probléma az adatbázisok inject-elése (befecskendezése). Ezzel a módszerrel a hacker lekérheti az egész adatbázis tartalmát mindössze egy sorral, melyek a header vagy input adatokba injektálnak be. Ez ellen három beépített függvénnyel védekezhetünk. Mysql esetén: mysql_real_escape_string , htmlspecialchars , valamint strip_tags . Mysqli esetén mysqli_real_escape_string , valamint az előző függvények. Ezek biztosítanak egy alap védelmet inject ellen, de ennél komolyabb funkciók kellenek. Ezek a függvényeket érdemes kombinálni, egymást kiegészíteni, valamint szűrni a mysql, mysqli parancsokat. (union, update…).
Nagyobb gondot szoktak jelenteni az XSS behatolások. Itt általában egy scriptet injektálnak az oldalba, mely lehet pl. egy hirdetés… Amire ha a felhasználó rákattint, akkor egyszerűen ellophatja annak sütijeit, azonosítóit.
PHP emailküldés - biztonság
Üdv!
Adott egy honlap, melyen található egy sima, hétköznapi emailküldő űrlap, PHPmailerrel kiküldi a levelet, tehát a "sima egyszerű iskolapélda".
Ugye a spamelés elleni védelem részét képező dolgok közt megtalálható a captcha, tehát a randomkódot a képről leolvasva be kell gépelni..
A mondhatni gond az, hogy a célközönség hát, nem kifejezetten az interneten felnőtt generáció, és mivel fontos szempont lenne, hogy a látogató ne álljon el a levélírástól azért, mert megunja, hogy nem tudja elolvasni a kódot, szóba került, hogy mi lenne, ha egy számsort kellene csak begépelnie == a kép felirata 'n'darab számot tartalmaz csak.
E témában érdekelne, hogy:
1.) bár egyszerű statisztikai megfontolásból nyilvánvaló, hogy kevésbé biztonságos ez, mint a betűk+számok véletlen kombinációja, de érdekelne, hogy szerintetek ez mennyire "öngyilkosság"?
2.) ha nagyon, akkor még egy olyan kiegészítésen gondolkozom, hogy az úgy milyen lenne, ha mondjuk 3vagy5 sikertelen kódleírás után nehezíteném meg a dolgot, szóval ha néhány próbálkozás után ismételten sikertelen lesz a küldés, akkor már egy sokkal komolyabb kódot kell megadnia a látogatónak?
(abból indulok ki, hogy néhány számot csak sikerül legalább harmadik nekifutásra leolvasni, ha nem, nos akkor már valószínűbb, hogy kártékony dolog próbálkozik, nem pedig egy ügyetlen user..)
■ Adott egy honlap, melyen található egy sima, hétköznapi emailküldő űrlap, PHPmailerrel kiküldi a levelet, tehát a "sima egyszerű iskolapélda".
Ugye a spamelés elleni védelem részét képező dolgok közt megtalálható a captcha, tehát a randomkódot a képről leolvasva be kell gépelni..
A mondhatni gond az, hogy a célközönség hát, nem kifejezetten az interneten felnőtt generáció, és mivel fontos szempont lenne, hogy a látogató ne álljon el a levélírástól azért, mert megunja, hogy nem tudja elolvasni a kódot, szóba került, hogy mi lenne, ha egy számsort kellene csak begépelnie == a kép felirata 'n'darab számot tartalmaz csak.
E témában érdekelne, hogy:
1.) bár egyszerű statisztikai megfontolásból nyilvánvaló, hogy kevésbé biztonságos ez, mint a betűk+számok véletlen kombinációja, de érdekelne, hogy szerintetek ez mennyire "öngyilkosság"?
2.) ha nagyon, akkor még egy olyan kiegészítésen gondolkozom, hogy az úgy milyen lenne, ha mondjuk 3vagy5 sikertelen kódleírás után nehezíteném meg a dolgot, szóval ha néhány próbálkozás után ismételten sikertelen lesz a küldés, akkor már egy sokkal komolyabb kódot kell megadnia a látogatónak?
(abból indulok ki, hogy néhány számot csak sikerül legalább harmadik nekifutásra leolvasni, ha nem, nos akkor már valószínűbb, hogy kártékony dolog próbálkozik, nem pedig egy ügyetlen user..)
htacces 301-es átirányítás
Sziasztok!
htaccess-ben kéne a köv. problémát megoldani:
http://domain.com/subfolder/akarmi1.html -> http://domain.com/akarmi1.html
http://domain.com/subfolder/akarmi2.html -> http://domain.com/akarmi2.html
http://domain.com/subfolder/akarmi3.html -> http://domain.com/akarmi3.html
http://domain.com/subfolder/akarmi4.html -> http://domain.com/akarmi4.html
...
Tehát a subfolderből a gyökérbe átirányítani a kérést. A subfolderen belül akarmilyen .html-re végződő file lehet.
■ htaccess-ben kéne a köv. problémát megoldani:
http://domain.com/subfolder/akarmi1.html -> http://domain.com/akarmi1.html
http://domain.com/subfolder/akarmi2.html -> http://domain.com/akarmi2.html
http://domain.com/subfolder/akarmi3.html -> http://domain.com/akarmi3.html
http://domain.com/subfolder/akarmi4.html -> http://domain.com/akarmi4.html
...
Tehát a subfolderből a gyökérbe átirányítani a kérést. A subfolderen belül akarmilyen .html-re végződő file lehet.