Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> [php] Wersja php w nagłówku?
luis2luis
post 10.12.2019, 15:06:02
Post #1





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Witam.

Firma której poprawiam stronę miała kontrolę RODO.
Dostali ostrzeżenie m.in że

Cytat
• nie wykazywać w nagłówkach wersji PHP/7.2.xxx


Podglądając stronę nigdzie nie widże w podglądanym kodzie takiej informacji o wersji php.
O jakie nagłówki mogło im chodzić? Wysyłane razem z domeną?

Nie chciałbym podawać adresu strony ze względu na to, że sprawa jest dosyć drażliwa. Grozi kara właścicielowi strony.
Go to the top of the page
+Quote Post
nospor
post 10.12.2019, 15:09:32
Post #2





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




Nagłówki żądania. Jak odpalasz strone w przeglądarce, to przeglądarka sle żądanie (request) do serwera. W odpowiedzi serwer wysyła ci odpowiedź z treścią strony oraz z nagłówkami (headers)


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
Tomplus
post 10.12.2019, 16:01:30
Post #3





Grupa: Zarejestrowani
Postów: 1 828
Pomógł: 225
Dołączył: 20.03.2005
Skąd: Będzin

Ostrzeżenie: (0%)
-----


Mogę wiedzieć co ma wspólnego wersja PHP z RODO?
Go to the top of the page
+Quote Post
nospor
post 10.12.2019, 16:04:43
Post #4





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




@Tomplus RODO mówi tez o zabezpieczeniu systemów informatycznych. Podawanie wersji php podchodzi pod luke bezpieczeństwa.

Nie mniej jednak mnie smieszy ten tekst:
nie wykazywać w nagłówkach wersji PHP/7.2.xxx

Ok, będę pokazywał 7.3 i juz poprawiłem wink.gif


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
Tomplus
post 10.12.2019, 19:02:39
Post #5





Grupa: Zarejestrowani
Postów: 1 828
Pomógł: 225
Dołączył: 20.03.2005
Skąd: Będzin

Ostrzeżenie: (0%)
-----


No właśnie, zabezpieczenie systemów informatycznych to jedno, ale podanie lub nie wersji to nie jest powód do strachu że coś się stanie. Kraker który wykorzystałby potencjalną lukę i bez tego dowie się jaka jest wersja PHP, wystarczy że po kolei będzie sprawdzał system na podatności.

Większość włamów przez systemy teleinformatyczne to luki w oprogramowaniu samych serwisów. Czy oprogramowanie (nawet zwykły Wordpress) też przejdzie audyt bezpieczeństwa?

Go to the top of the page
+Quote Post
nospor
post 10.12.2019, 20:40:07
Post #6





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




Ale "Kraker" zamist 10000 luk bedzie mial do sprawdzenia 100. Znaczna roznica.
Oczywiscie ze nie jest to jakas szczegolna luka, ale jest. Jaki problem nie walic tego naglowka?

Nawet kiedys w samym php, gdy podano odpowiedni ciag w url, to wyswietlano rozne zdjecie autora w zaleznosci od wersji php. Ale jakos kolo wersji php5.5 sie skapneli co za glupote robia i zaprzestali tego.


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
luis2luis
post 11.12.2019, 11:07:27
Post #7





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Cytat(Tomplus @ 10.12.2019, 16:01:30 ) *
Mogę wiedzieć co ma wspólnego wersja PHP z RODO?


Trzeba to ukryć bo będzie domiar. Komisja RODO tak zadecydowała. Ze jest to luka. Że za dwa lata jak wejda nowe wersje a tutaj nikt nie przestawi na serwerze to będzie okazja do włamania smile.gif
Jak można to ukryć?


Kolejna sprawa wyświetlanie pdfa z proformą:

Cytat
https://DOMENAl/admin/pdf_prof.php?kod=4717...656c658425dcd4a istnieje podejrzenie że można pobrać dane za pomocą automatu wystarczy podać 30 literowy kod z generatora (liczby i małe litery przykładowy generator https://generator.blulink.pl/ w postaci HEX) jeśli ktoś realizuje przedpłatę na konto dostaje linka do PDFa zapisane w systemie. Taka informacja nie jest przypisana do konta więc każdym generatorem można pobrać dane. PDF powinien być wysyłany na maila lub zabezpieczony loginem i hasłem przy uwzględnieniu szyfrowania https:// .


Mysle, żeby dodac do parametrów jeszcze id "https://DOMENAl/admin/pdf_prof.php?kod=4717a8b83fd6565c6656c72e5dcd4a&id=44" i wtedy po 30 próbach złych blokować dany dokument.

30 literowy kod to ile to milkiardów opcji? smile.gif Równie dobrze można tak samo każde hasło odgadnąć.

Ten post edytował luis2luis 11.12.2019, 11:09:37
Go to the top of the page
+Quote Post
nospor
post 11.12.2019, 11:22:08
Post #8





Grupa: Moderatorzy
Postów: 36 440
Pomógł: 6290
Dołączył: 27.12.2004




Cytat
Jak można to ukryć?

Skoro jestes programista w duzej firmie, do ktorej czepia sie rodo, to naprawde wiedzac juz o jakich naglowkach mowa, moglbys zapytac google jak je ukryc.


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer

Go to the top of the page
+Quote Post
gitbejbe
post 12.12.2019, 20:10:52
Post #9





Grupa: Zarejestrowani
Postów: 515
Pomógł: 63
Dołączył: 27.08.2012

Ostrzeżenie: (0%)
-----


Cytat
Mysle, żeby dodac do parametrów jeszcze id "https://DOMENAl/admin/pdf_prof.php?kod=4717a8b83fd6565c6656c72e5dcd4a&id=44" i wtedy po 30 próbach złych blokować dany dokument.

30 literowy kod to ile to milkiardów opcji? smile.gif Równie dobrze można tak samo każde hasło odgadnąć.


Jesteś taki pewny co do tego hashu? Czym go generujesz ? Wiesz jaka jest entropia tego algorytmu ? Podpowiem: dla hasha z Twojego przykładu "4717a8b83fd6565c6656c72e5dcd4a" jest to niecałe 114bitów, dupy nie urywa jeśli chodzi o dzisiejsze standardy (nawet md5 ma większa). Teraz pytanie jak go tworzysz, bo tutaj może być duża luka. Stąd też powstały ustandaryzowane metody, tutaj pasowałby np UUID v4. powołując się na nie, zwalniany jesteś od pewnej grupy zarzutów.

Tutaj akurat w pełni popieram sprawdzającego wg mnie to też luka. Swoją drogą spoko że argumentują decyzję i podają rozwiązania. Kontrolujący napisał jak problem można rozwiązać i się z nim zgadzam.

co do Twojego pomysłu, jak dodasz jeszcze parametr id to tylko pogorszysz bezpieczeństwo. Jak rozpracuje Twój hash, pobiorę bez problemu wszystkie Twoje dokumenty

EDIT: mała ciekawostka - gtx 1080 TI w ciągu jednej sekundy potrafi wygenerować 31 milardów hashy md5.

Ten post edytował gitbejbe 13.12.2019, 10:56:16
Go to the top of the page
+Quote Post
luis2luis
post 19.12.2019, 00:05:30
Post #10





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Cytat(gitbejbe @ 12.12.2019, 20:10:52 ) *
Jesteś taki pewny co do tego hashu? Czym go generujesz ? Wiesz jaka jest entropia tego algorytmu ? Podpowiem: dla hasha z Twojego przykładu "4717a8b83fd6565c6656c72e5dcd4a" jest to niecałe 114bitów, dupy nie urywa jeśli chodzi o dzisiejsze standardy (nawet md5 ma większa). Teraz pytanie jak go tworzysz, bo tutaj może być duża luka. Stąd też powstały ustandaryzowane metody, tutaj pasowałby np UUID v4. powołując się na nie, zwalniany jesteś od pewnej grupy zarzutów.

Tutaj akurat w pełni popieram sprawdzającego wg mnie to też luka. Swoją drogą spoko że argumentują decyzję i podają rozwiązania. Kontrolujący napisał jak problem można rozwiązać i się z nim zgadzam.

co do Twojego pomysłu, jak dodasz jeszcze parametr id to tylko pogorszysz bezpieczeństwo. Jak rozpracuje Twój hash, pobiorę bez problemu wszystkie Twoje dokumenty

EDIT: mała ciekawostka - gtx 1080 TI w ciągu jednej sekundy potrafi wygenerować 31 milardów hashy md5.



Używam tego właśnie mechanizmu, wygląda to dokłądnie tak:

  1. $kod = subStr(MD5(uniqId(microTime())), 0, 16);


Gtx 1080 TI wygeneruje sporą ilość hashy, ale taka ilośc prób otwarcia dokumentu będzie wykryta przez administratora.

Podając w parametrach id dokumentu mogę po 10 błędnych próbach blokowac dokument i po sprawie.

Ten post edytował luis2luis 19.12.2019, 00:10:02
Go to the top of the page
+Quote Post
Johnas
post 20.12.2019, 11:04:37
Post #11





Grupa: Zarejestrowani
Postów: 650
Pomógł: 16
Dołączył: 5.07.2010
Skąd: Ściśle Tajne

Ostrzeżenie: (0%)
-----


Kurczaki... To mi dopiero nowość że teraz trzeba blokować wersję PHP w nagłówkach. Brak laptopa odbiera mi wiedzę na temat aktualnych wytycznych dotyczących programowania wink.gif


--------------------
Jak coś jest dobre, to nie znaczy że nie może być to lepsze - Ideały nie istnieją ;D
Strony internetowe Świnoujście
Go to the top of the page
+Quote Post
gitbejbe
post 20.12.2019, 20:43:38
Post #12





Grupa: Zarejestrowani
Postów: 515
Pomógł: 63
Dołączył: 27.08.2012

Ostrzeżenie: (0%)
-----


Cytat
Podając w parametrach id dokumentu mogę po 10 błędnych próbach blokowac dokument i po sprawie.


dodawanie parametrów id do newralgicznych funkcji nigdy nie jest bezpieczniejszą opcją, zwłaszcza że Ty chcesz użyć to id które inkrementujesz w bazie. W Twoim przypadku i wydaniu który proponujesz to totalna głupota, napisz mi jak to zrobisz a ja w jedną chwilę zablokuje Ci wszystkie dokumenty.

EDIT:

Cytat
$kod = subStr(MD5(uniqId(microTime())), 0, 16);


jeśli nie chcesz się napracować a osiągnąć lepszy efekt, zamiast generować jakimiś dziwnymi funkcjami klucze, użyj UUID w wersji 4. Poczytaj sobie, jeśli o tym nie słyszałeś to na pewno się trochę zdziwisz jak bardzo te hashe są unikatowe, w skrócie: nikt nigdy na całym świecie nie wygeneruje takiego uuid jak Ty. uuid ma 36 znaków, lekko więcej niż ten Twój klucz teraz, no i jest to ustandaryzowane. Ciekawe co powie na to urzędnik

Ten post edytował gitbejbe 21.12.2019, 00:06:14
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 28.03.2024 - 16:00