Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Nostur | E-mail | Website | PGP | ICQ 33577219023.7.2006 23:45
addslashs(), prip. stripslashes(), amgic_quotes_off, registr_globals off, mas to bezpecny, zalohovat muzes treba kamkoliv jinam mimo web prostor apache, a ssl, certifikaty sou levny, xss je na nic, kdyz blokujes ://, jinak pohoda
mzk | E-mail | Website21.7.2006 18:19
Citace: Pokud by jste chtěly tento článek uveřejnit na svých stránkách..
To jsme tady samý ženské co?

----------
nehádej se, nemá to cenu | osobní blog: [link]
Studna | E-mail | Website | ICQ 19207426421.7.2006 12:00
To heslo bylo 6ti místný, zkoušel jsem velký, malý písmena, čísla a znaky.A jinak rpocesor intel pentium 4, 3 Ghz.
rob: S tim .htacces sem to řikal.Je to v obraně.
3wl4k: To s těma 100 pokusama je nějaký moc složitý ne???
rob21.7.2006 8:32
oggy: do nejakych 6 znaku to neni problem, pokud zkousis jenom pismena male abecedy a cisla.
OGGY20.7.2006 22:09
Kolik to heslo mělo znaků ? (To jak si z MD5 prolomil brutem)
3wl4k | E-mail | ICQ 27883782020.7.2006 20:33
A ja by som doplnil, ze treba osetrit kazdy 'prd' ktory zavisi na niecom co user moze ovplinit (kontrolovat ci sa clanok s id nacital, ci su nastavene vsetky potrebne polia z formu a ci ich odoslali z vaseho webu, ci sa nejedna o fake)

nechat toto:
if( isset( $_GET['add'])){
// pridat nieco do db
}
je nezodpovedne... aky je problem prestrcit dalej kravinu?
rob20.7.2006 19:08
SQL: na to existuji primo funkce backslashes. nemusis pouzivat nejaky zbytecny narocnejsi replace.

Upload - u tohoto chyby zabezpeceni proti uploadu. Muzes treba kontrolovat typ uploadovanych souvoru.

Ukládání do souborů - neni nebezpecne. Muzes si soubor s txt soubory zabezpecit pomoci napriklad .htaccess

sifrovani - MD5 neni prolomena. Kdyz o tom vys kulove tak to tam nepis. Byli nalezeny kolize, tot vse. Jinak MD5 se romalne da pouzivat. Staci provest kodovani vicekrat. Oproti SHA sifram ma vyhodu ze je mnohem rychlejsi. A jinak u SHA1 byla taky uz davno nalezena kolize.

Hidden - to ses tada moc nepredvedl. Hiden je bezpecne, pokud kontrolujes jeho obsah.

Záloha - zaloha je uplne normalni vec a zase se daji zabezpecit soubory napriklad pomoci .htaccess a .htpasswd.

Cracking - programy jako brutus a jemu podobne jsou tzv. lamerske nastroje, ktere nikdo normalni nepouziva.

a nakonec me docela rozesmalo tohle:
Pokud by jste chtěly tento článek uveřejnit na svých stránkách
:-))

Ale nemuzu rict ze se mi clanek nelibi. Je napsany pekne, ale zase strasne strucne, ostatne stejne jako clanek prvni. Chtelo by se to o problematice trochu vice rozepsat.
3wl4k | E-mail | ICQ 27883782020.7.2006 18:32
Databazy su pri zapnutom magic_quotes_gpc viac menej bezpecne (proti GPC) a skus miesto toho str_replace pozuit addslashes alebo mysql_real_escape_string...

IMHO ak nieco ukadas do suboru staci ti na zaciatok dat <? die(); ?> [a ulozit ako *.php] a utocnik z vonka si viac menej ani nepipne...

K sifrofaniu: skus k tomu primiesat salt a cracker si nepipne, kym nema zdrojak... [rozdelit pass na 3znaky +zbytok a do stredu vsunut nejaky textik... :))]

K brute force utokom...
100 neplatnych pokusov na usera a zrusenie registracie [vyziadtat overenie cez mail a odporucit zmenu hesla...]

XSS -> search_step1.php
Header( "Location search.php?search=" . urlencode( $_GET[ 'search']))

9) Nikdy neukaldat hslo inak ako hash

12) A co ak sa na teba admin servra vy<> ???

IMHO je tento clanok len zhrnutim toho co som tu uz videl (ale mozno si pletiem este s inym webom)
3wl4k | E-mail | ICQ 27883782021.7.2006 17:34
Preco myslis?

Do user tabulky pridas TINYINT s poctom vyskusanych loginov a po kazdom uspecnom vynylujes...

2riadky navyse ;d

Stránky: 1
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | ZDg1YWQ