[php] Wersja php w nagłówku? |
[php] Wersja php w nagłówku? |
10.12.2019, 15:06:02
Post
#1
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
Witam.
Firma której poprawiam stronę miała kontrolę RODO. Dostali ostrzeżenie m.in że Cytat • nie wykazywać w nagłówkach wersji PHP/7.2.xxx Podglądając stronę nigdzie nie widże w podglądanym kodzie takiej informacji o wersji php. O jakie nagłówki mogło im chodzić? Wysyłane razem z domeną? Nie chciałbym podawać adresu strony ze względu na to, że sprawa jest dosyć drażliwa. Grozi kara właścicielowi strony. |
|
|
10.12.2019, 15:09:32
Post
#2
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6296 Dołączył: 27.12.2004 |
Nagłówki żądania. Jak odpalasz strone w przeglądarce, to przeglądarka sle żądanie (request) do serwera. W odpowiedzi serwer wysyła ci odpowiedź z treścią strony oraz z nagłówkami (headers)
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
10.12.2019, 16:01:30
Post
#3
|
|
Grupa: Zarejestrowani Postów: 1 836 Pomógł: 226 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%) |
Mogę wiedzieć co ma wspólnego wersja PHP z RODO?
|
|
|
10.12.2019, 16:04:43
Post
#4
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6296 Dołączył: 27.12.2004 |
@Tomplus RODO mówi tez o zabezpieczeniu systemów informatycznych. Podawanie wersji php podchodzi pod luke bezpieczeństwa.
Nie mniej jednak mnie smieszy ten tekst: nie wykazywać w nagłówkach wersji PHP/7.2.xxx Ok, będę pokazywał 7.3 i juz poprawiłem -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
10.12.2019, 19:02:39
Post
#5
|
|
Grupa: Zarejestrowani Postów: 1 836 Pomógł: 226 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%) |
No właśnie, zabezpieczenie systemów informatycznych to jedno, ale podanie lub nie wersji to nie jest powód do strachu że coś się stanie. Kraker który wykorzystałby potencjalną lukę i bez tego dowie się jaka jest wersja PHP, wystarczy że po kolei będzie sprawdzał system na podatności.
Większość włamów przez systemy teleinformatyczne to luki w oprogramowaniu samych serwisów. Czy oprogramowanie (nawet zwykły Wordpress) też przejdzie audyt bezpieczeństwa? |
|
|
10.12.2019, 20:40:07
Post
#6
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6296 Dołączył: 27.12.2004 |
Ale "Kraker" zamist 10000 luk bedzie mial do sprawdzenia 100. Znaczna roznica.
Oczywiscie ze nie jest to jakas szczegolna luka, ale jest. Jaki problem nie walic tego naglowka? Nawet kiedys w samym php, gdy podano odpowiedni ciag w url, to wyswietlano rozne zdjecie autora w zaleznosci od wersji php. Ale jakos kolo wersji php5.5 sie skapneli co za glupote robia i zaprzestali tego. -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
11.12.2019, 11:07:27
Post
#7
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
Mogę wiedzieć co ma wspólnego wersja PHP z RODO? Trzeba to ukryć bo będzie domiar. Komisja RODO tak zadecydowała. Ze jest to luka. Że za dwa lata jak wejda nowe wersje a tutaj nikt nie przestawi na serwerze to będzie okazja do włamania Jak można to ukryć? Kolejna sprawa wyświetlanie pdfa z proformą: Cytat https://DOMENAl/admin/pdf_prof.php?kod=4717...656c658425dcd4a istnieje podejrzenie że można pobrać dane za pomocą automatu wystarczy podać 30 literowy kod z generatora (liczby i małe litery przykładowy generator https://generator.blulink.pl/ w postaci HEX) jeśli ktoś realizuje przedpłatę na konto dostaje linka do PDFa zapisane w systemie. Taka informacja nie jest przypisana do konta więc każdym generatorem można pobrać dane. PDF powinien być wysyłany na maila lub zabezpieczony loginem i hasłem przy uwzględnieniu szyfrowania https:// . Mysle, żeby dodac do parametrów jeszcze id "https://DOMENAl/admin/pdf_prof.php?kod=4717a8b83fd6565c6656c72e5dcd4a&id=44" i wtedy po 30 próbach złych blokować dany dokument. 30 literowy kod to ile to milkiardów opcji? Równie dobrze można tak samo każde hasło odgadnąć. Ten post edytował luis2luis 11.12.2019, 11:09:37 |
|
|
11.12.2019, 11:22:08
Post
#8
|
|
Grupa: Moderatorzy Postów: 36 457 Pomógł: 6296 Dołączył: 27.12.2004 |
Cytat Jak można to ukryć? Skoro jestes programista w duzej firmie, do ktorej czepia sie rodo, to naprawde wiedzac juz o jakich naglowkach mowa, moglbys zapytac google jak je ukryc. -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
12.12.2019, 20:10:52
Post
#9
|
|
Grupa: Zarejestrowani Postów: 515 Pomógł: 63 Dołączył: 27.08.2012 Ostrzeżenie: (0%) |
Cytat Mysle, żeby dodac do parametrów jeszcze id "https://DOMENAl/admin/pdf_prof.php?kod=4717a8b83fd6565c6656c72e5dcd4a&id=44" i wtedy po 30 próbach złych blokować dany dokument. 30 literowy kod to ile to milkiardów opcji? smile.gif Równie dobrze można tak samo każde hasło odgadnąć. Jesteś taki pewny co do tego hashu? Czym go generujesz ? Wiesz jaka jest entropia tego algorytmu ? Podpowiem: dla hasha z Twojego przykładu "4717a8b83fd6565c6656c72e5dcd4a" jest to niecałe 114bitów, dupy nie urywa jeśli chodzi o dzisiejsze standardy (nawet md5 ma większa). Teraz pytanie jak go tworzysz, bo tutaj może być duża luka. Stąd też powstały ustandaryzowane metody, tutaj pasowałby np UUID v4. powołując się na nie, zwalniany jesteś od pewnej grupy zarzutów. Tutaj akurat w pełni popieram sprawdzającego wg mnie to też luka. Swoją drogą spoko że argumentują decyzję i podają rozwiązania. Kontrolujący napisał jak problem można rozwiązać i się z nim zgadzam. co do Twojego pomysłu, jak dodasz jeszcze parametr id to tylko pogorszysz bezpieczeństwo. Jak rozpracuje Twój hash, pobiorę bez problemu wszystkie Twoje dokumenty EDIT: mała ciekawostka - gtx 1080 TI w ciągu jednej sekundy potrafi wygenerować 31 milardów hashy md5. Ten post edytował gitbejbe 13.12.2019, 10:56:16 |
|
|
19.12.2019, 00:05:30
Post
#10
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
Jesteś taki pewny co do tego hashu? Czym go generujesz ? Wiesz jaka jest entropia tego algorytmu ? Podpowiem: dla hasha z Twojego przykładu "4717a8b83fd6565c6656c72e5dcd4a" jest to niecałe 114bitów, dupy nie urywa jeśli chodzi o dzisiejsze standardy (nawet md5 ma większa). Teraz pytanie jak go tworzysz, bo tutaj może być duża luka. Stąd też powstały ustandaryzowane metody, tutaj pasowałby np UUID v4. powołując się na nie, zwalniany jesteś od pewnej grupy zarzutów. Tutaj akurat w pełni popieram sprawdzającego wg mnie to też luka. Swoją drogą spoko że argumentują decyzję i podają rozwiązania. Kontrolujący napisał jak problem można rozwiązać i się z nim zgadzam. co do Twojego pomysłu, jak dodasz jeszcze parametr id to tylko pogorszysz bezpieczeństwo. Jak rozpracuje Twój hash, pobiorę bez problemu wszystkie Twoje dokumenty EDIT: mała ciekawostka - gtx 1080 TI w ciągu jednej sekundy potrafi wygenerować 31 milardów hashy md5. Używam tego właśnie mechanizmu, wygląda to dokłądnie tak: Gtx 1080 TI wygeneruje sporą ilość hashy, ale taka ilośc prób otwarcia dokumentu będzie wykryta przez administratora. Podając w parametrach id dokumentu mogę po 10 błędnych próbach blokowac dokument i po sprawie. Ten post edytował luis2luis 19.12.2019, 00:10:02 |
|
|
20.12.2019, 11:04:37
Post
#11
|
|
Grupa: Zarejestrowani Postów: 650 Pomógł: 16 Dołączył: 5.07.2010 Skąd: Ściśle Tajne Ostrzeżenie: (0%) |
Kurczaki... To mi dopiero nowość że teraz trzeba blokować wersję PHP w nagłówkach. Brak laptopa odbiera mi wiedzę na temat aktualnych wytycznych dotyczących programowania
-------------------- Jak coś jest dobre, to nie znaczy że nie może być to lepsze - Ideały nie istnieją ;D
Strony internetowe Świnoujście |
|
|
20.12.2019, 20:43:38
Post
#12
|
|
Grupa: Zarejestrowani Postów: 515 Pomógł: 63 Dołączył: 27.08.2012 Ostrzeżenie: (0%) |
Cytat Podając w parametrach id dokumentu mogę po 10 błędnych próbach blokowac dokument i po sprawie. dodawanie parametrów id do newralgicznych funkcji nigdy nie jest bezpieczniejszą opcją, zwłaszcza że Ty chcesz użyć to id które inkrementujesz w bazie. W Twoim przypadku i wydaniu który proponujesz to totalna głupota, napisz mi jak to zrobisz a ja w jedną chwilę zablokuje Ci wszystkie dokumenty. EDIT: Cytat $kod = subStr(MD5(uniqId(microTime())), 0, 16); jeśli nie chcesz się napracować a osiągnąć lepszy efekt, zamiast generować jakimiś dziwnymi funkcjami klucze, użyj UUID w wersji 4. Poczytaj sobie, jeśli o tym nie słyszałeś to na pewno się trochę zdziwisz jak bardzo te hashe są unikatowe, w skrócie: nikt nigdy na całym świecie nie wygeneruje takiego uuid jak Ty. uuid ma 36 znaków, lekko więcej niż ten Twój klucz teraz, no i jest to ustandaryzowane. Ciekawe co powie na to urzędnik Ten post edytował gitbejbe 21.12.2019, 00:06:14 |
|
|
Wersja Lo-Fi | Aktualny czas: 26.04.2024 - 15:22 |