Bezpieczeństwo skryptów PHP, Jak zabezpieczyć się przed włamaniem Opcje

[Kocurro]

Też kiedyś myślałem o użyciu base64 ... ale potem zrozumiałem, że lepiej zamieniać na kod binarny - czyli 0 i 1 ... a następnie dokładać dane kontrolne oraz naprawcze. Mój pomysł okazał się genialny w swojej prostocie ... tylko nie wiem czemu tak szybko baza się rozrastała .... hmm

[erix]

Co wy na to, żeby zamiast backslashowania dane wysyłane do MySQL zakodować w base64

Nie dość, że dane będą faktycznie zajmować więcej (133%), to jak chcesz po base64 szukać?

[nospor]

to jak chcesz po base64 szukać

erix, ale tu jest mowa o bezpieczenstwie a nie o szukaniu

a juz tak bardziej powaznie:
@legalizetrawka poroniony pomysl. to co jest sprawdza sie doskonale i nie ma sensu tu czegokolwiek jeszcze przez base64 przepuszczac

[erix]

~nospor, ale wady przeważają nad korzyściami.

edit@down: bannerowo-grafikowa ślepota

[nospor]

@erix ale te mrugniecie oka zauwazyles na koncu mojego zdania? Znaczylo ono, iz moją odpowiedź nalezy potraktowac z przymruzeniem oka, taki zart....
juz nie wspomne o tym zdaniu

a juz tak bardziej powaznie:

[pyro]

Po co ludzie kombinują na już ósme i dziesiąte sposoby, zamiast korzystać ze sprawdzonych i 100% dobrych sposobów

[Fifi209]

Po co ludzie kombinują na już ósme i dziesiąte sposoby, zamiast korzystać ze sprawdzonych i 100% dobrych sposobów

Żebyśmy mieli o czym dyskutować.

A tak poważnie, każdy programista marzył chyba o własnym zaawansowanym systemie zabezpieczeń, zrozumiałym pod kątem kodu i zabezpieczeń tylko dla niego, a użytkownik miałby tylko korzystać.

Wiele wizji, kiedyś chciałem zrobić system logowania w php, który opierałby się na kluczach etc. przechowywanych na pendrive - jednak wiedza jaką wtedy posiadałem pozwalała mi korzystać z zaawansowanych metod typu:

[PHP] pobierz, plaintext 
<?php
if ($_POST['haslo'] == 'test') { 
}else{
}
?>
[PHP] pobierz, plaintext 

[andycole]

a nie wystarczy calkowite strip_tags() (uzywamy bbcode) + mysql_real_escape_string() + filtracja danych ?

[erix]

A może byś tak ten wątek od początku przeczytał...?

[maly_pirat]

Cześć, a jak wygląda sprawa tablic (ARRAY)? Da się jakoś je wykraść z poziomu przeglądarki? - nie znam się na hakerstwie, i stąd moje pytanie. W tablicy trzymam np. ustawienia strony, połączenie do bazy (dane).

[PHP] pobierz, plaintext 
$settings	=	array
(
	'db'	=> array
	(
		'host'		=> 'localhost',
		'user'		=> 'root',
		'pwd'		=> 'krasnal'
	),
 
);
[PHP] pobierz, plaintext 

[andycole]

W podanym przez Ciebie przykladzie nie ma szansy na wykradniecie tego z poziomu przegladarki.
Jedynym sposobem dobrania sie do tablicy to wglad w kod zrodlowy.

BTW. Pliki z configiem, kodem zrodlowym php, mysql nie trzymaj w katalogu public_html tylko pietro wyzej, tak zeby z poziomu przegladarki nie miec do nich dostepu.

[xajart]

Jak zabezpieczać sesje? A właściwie to chodzi mi o rozwiazanie z tokenami, prześledziłem cały ten wątek jak i wiele innych materiałów w sieci. Ale dalej męczą mnie pytania na które nie znam odpowiedzi. 

Rozumie że kiedy użytkownik się loguje do systemu i przejdzie przez cały proces weryfikacyjny, ma być generowany unikalny token.

Na 6 stronie jest przykłądowy skrypt jak taki token generować, przy pomocy output_add_rewrite_var taki token mogę przypisać do "wszystkich" (większośći linków) wewnątrz serwisu.

Pytania:

1. Rozumie że dane z tokenem przechowywać w cookis i sesji?
2. Id sesji regenrować co np 30 sekund (by uniknąc jej ustawienia - session_regenerate_id) 
3. jak zabezpieczyć użytkownika by nie był wylogowywany z sesji jeżeli jest aktywny, oraz w drugą stronę by był wylogowany z sesji jeżeli jego nieaktywność przekracza np 30 minut. (przychodzi mi do głowy rozwiazanie w stylu, żę przy kazdej akcji w BD przy użytkowniku zmieniać czas ostatniej wizyty i na jej podstawie sprawdzać?)
4. pytanie nie zwiazane z tokenami, w jaki sposób zabezpieczyć się przed logowaniem kilku użytkowników na to samo konto?
5. jeżeli w sesji będę przechowywać tablicę z uprawnieniami użytkownika co do serwisu, to czy to jest bezpieczne (bo w wypowiedziach wyższych czytałem że nie, ale jak ktoś powiedził nie ma sensu za każdym razem sprawdzać uprawnienia użytkownika) wiec jak to najlepiej rozwiazać?
6. co to jest tablica routingu? jak ją ewentualnie skonstruować w BD i jak jej używać - czytałem że jest to dobra forma zabezpieczenia, ale czy niebędzie to obciążać dodatkowo pracy serwisu, bo wkońcu poza bezpieczenstwem chodzi też o wydajność.
7. I jeszcze jedna kwestia dotycząca życia sesji, a mianowicie jeżeli uztykownikowi zostaną zmienione uprawnienia, to jak zmusić tego użytkownika by został wylogowany z sesji (czyli by jego sesja się zresetowała) - w tym przypadku zapewne jakieś rozwiązanie z BD ? wyżej ktoś pisał o tym ale niewiele z tego zrozumiałem.
8. i ostatnie pytanie czy istnieją jakiest automatyczne testery tzw. fuzzery - do sprawdzania skryptu, przed róznymi atakami, kiedyś szukałem i jakiś znalazłem ale głównie opierał się na sprawdzaniu ochrony przed SQL-Injector. A tych form ataków jest bardzo wiele.

Narazie tyle.

Ten post edytował xajart 21.11.2009, 14:20:28

[erix]

1: Hmm, na większość Twoich pytań najlepszą odpowiedzią byłoby nieco lektury na temat XSRF (jest w wiki).
2: robisz stronę dla banku? A teraz na serio - każdorazowe regenerowanie ID sesji jest nieco przesadne...
3: jeśli ustawisz długość sesji przez session_set_cookie_params, to będzie ona automatycznie przedłużana przez podany okres czasu (ciastko). Jeśli chodzi o DB, to tak, jak napisałeś.
4: sprawdzanie po IP odpada, gdyż kilku użytkowników zaloguje się z jednej sieci i guzik z zabezpieczenia. Najlepiej sprawdzać bardziej spersonalizowane dane, np. rozdzielczość (wymagane manipulowanie przez JS), czy ścisłe sprawdzanie User-Agent.
5: ja rozwiązałem podobny problem w ten sposób - tabela sesyjna jest typu MEMORY i dałem dodatkowe pole forceReload. W przypadku konieczności zmiany zestawu uprawnień, przestawiam tę flagę z poziomu skryptu, a przy najbliższej akcji użytkownika - zostanie wymuszone przeładowanie zestawu uprawnień.
6: mhmm, to chyba nie chodzi o zabezpieczenia sesji, bo jeszcze o routingu w tym kontekście nie słyszałem...
7: a po co? Patrz: moja odpowiedź na 5. A jeśli już koniecznie chcesz wymusić przelogowanie, to możesz przecież wyczyścić tabelę sesyjną. Ostatecznie - session_regenerate_id.
8: wiele razy słyszałem zdanie w stylu - chcesz projektować dobre zabezpieczenia? musisz zacząć myśleć, jak złodziej. Żaden automat nie zastąpi dobrego i doświadczonego audytora. Odpowiadając na pytanie - nie słyszałem o takich narzędziach.

[xajart]

Co do punktu 5 to nie wpadłem na takie rozwiązanie jak przedstawiłeś - ale to jest dobry pomysł. Nie robie strony dla banku, tylko chciałem zakres swójej wiedzy trochę poszerzyć.

Ten post edytował xajart 24.11.2009, 01:02:31

[AboutMe]

Chciałbym w komentarzach dać możliwość userom wpisywania urli, czy filtrowanie wszystkiego poza literami, cyframi, slashem oraz kropkami i myślnikami jest bezpieczne?

Ten post edytował AboutMe 15.12.2009, 13:18:11

[Tetris]

Witam

Ostatnio rejestrowałem się na sfd.pl i tam zauważyłem dość ciekawy mechanizm (i prosty) mechanizm ochrony przed botami.
Otóż standardowo po rejestracji dostajemy na maila linka aktywacyjnego, ale ten zamiast na właściwą stronę, to przenosi nas na formularz gdzie musimy wpisać hasło, aby zakończyć rejestację. Hasło jest oczywiście w mailu z wcześniej wysłanym linku aktywacyjnym?

Zastanawiam się czy nie zastosować tego u siebie (obecnie mam tylko zwykłą walidację pól przy rejestracji + link na maila). Na pierwszy rzut oka mechanizm wydaje mi się odporny na boty, co o tym myślicie?

Pozdrawiam

[Fifi209]

Witam

Ostatnio rejestrowałem się na sfd.pl i tam zauważyłem dość ciekawy mechanizm (i prosty) mechanizm ochrony przed botami.
Otóż standardowo po rejestracji dostajemy na maila linka aktywacyjnego, ale ten zamiast na właściwą stronę, to przenosi nas na formularz gdzie musimy wpisać hasło, aby zakończyć rejestację. Hasło jest oczywiście w mailu z wcześniej wysłanym linku aktywacyjnym?

Zastanawiam się czy nie zastosować tego u siebie (obecnie mam tylko zwykłą walidację pól przy rejestracji + link na maila). Na pierwszy rzut oka mechanizm wydaje mi się odporny na boty, co o tym myślicie?

Pozdrawiam

Dla chcącego nic trudnego. Równie dobrze możesz dodać captchę - to jest trudniejsze do złamania przez laika.

[Tetris]

Czyli lepiej dać to i to:)

Pozdrawiam

[Zyx]

Sposób będzie odporny na boty, dopóki się nie upowszechni i ktoś nie napisze bota pozwalającego go obejść, co zresztą nie byłoby takie znowu trudne. Takie wynalazki mają szansę dłużej podziałać jedynie wtedy, gdy będą na tyle unikalne, a strona na tyle mała, że "grube ryby" po prostu nie zauważą, że spamowanie tam nie do końca działa, jak powinno. Coś takiego mam na swoim blogu - zabezpieczenie jest idiotycznie prosto obejść, lecz jest ono też tak bardzo powiązane z pomysłem tego bloga, że praktycznie jest nie do powielenia na innych stronach, a tym samym twórcom botów nie opłaca się specjalnie dla niego pisać odpowiedniego algorytmu.

Jeśli chcesz w miarę skuteczny sposób na przeciwdziałanie rejestrowaniu się spamerom, po prostu podłącz się do jakiejś bazy spamerów, np. http://www.stopforumspam.com/ - przy rejestracji możesz odpytać ją o to, czy dany użytkownik jest spamerem i jeśli tak, to dane konto oznaczasz jako "do ręcznego aktywowania przez administratora".

[Fifi209]

Sposób będzie odporny na boty, dopóki się nie upowszechni i ktoś nie napisze bota pozwalającego go obejść, co zresztą nie byłoby takie znowu trudne. Takie wynalazki mają szansę dłużej podziałać jedynie wtedy, gdy będą na tyle unikalne, a strona na tyle mała, że "grube ryby" po prostu nie zauważą, że spamowanie tam nie do końca działa, jak powinno. Coś takiego mam na swoim blogu - zabezpieczenie jest idiotycznie prosto obejść, lecz jest ono też tak bardzo powiązane z pomysłem tego bloga, że praktycznie jest nie do powielenia na innych stronach, a tym samym twórcom botów nie opłaca się specjalnie dla niego pisać odpowiedniego algorytmu.

Jeśli chcesz w miarę skuteczny sposób na przeciwdziałanie rejestrowaniu się spamerom, po prostu podłącz się do jakiejś bazy spamerów, np. http://www.stopforumspam.com/ - przy rejestracji możesz odpytać ją o to, czy dany użytkownik jest spamerem i jeśli tak, to dane konto oznaczasz jako "do ręcznego aktywowania przez administratora".

Fajny pomysł

Wymodziłem coś takiego: (dla chcących spróbować tego rozwiązania)

[PHP] pobierz, plaintext 
<?php
 
	function isSpammer($name, $mail, $ip) {
		$mh = curl_multi_init();
 
		$ch[] = curl_init();
		curl_setopt(end($ch), CURLOPT_URL, 'http://www.stopforumspam.com/api?username='.$name);
		curl_setopt(end($ch), CURLOPT_RETURNTRANSFER, true);
		curl_multi_add_handle($mh, end($ch));
		$ch[] = curl_init();
		curl_setopt(end($ch), CURLOPT_URL, 'http://www.stopforumspam.com/api?email='.$mail);
		curl_setopt(end($ch), CURLOPT_RETURNTRANSFER, true);
		curl_multi_add_handle($mh, end($ch));
		$ch[] = curl_init();
		curl_setopt(end($ch), CURLOPT_URL, 'http://www.stopforumspam.com/api?ip='.$ip);
		curl_setopt(end($ch), CURLOPT_RETURNTRANSFER, true);
		curl_multi_add_handle($mh, end($ch));
 
		$response = array();
		$running = null;
 
		do { 
			curl_multi_exec($mh, $running); 
		}while($running > 0);
 
		foreach ($ch as $val) { 
			$response[] = curl_multi_getcontent($val);
			curl_multi_remove_handle($mh, $val);
		}
 
		curl_multi_close($mh);
 
		$spammer = false;
 
 
		foreach ($response as $val) {
			if (preg_match('#<appears>yes</appears>#', $val)) {
				$spammer = true;
				break;
			}
		}
 
		return $spammer;
	}
 
	var_dump(isSpammer('Sanjana', 'sdfsdf@gmail.com', '127.0.0.1'));
	echo '<br/>';
	var_dump(isSpammer('Sanjanad', 'afghdfgh@gmail.com', '81.200.16.66'));
	echo '<br/>';
	var_dump(isSpammer('arturf209', 'mojmail@gmai.com', '127.0.0.1'));
 
 
?>
[PHP] pobierz, plaintext 

Ten post edytował fifi209 3.03.2010, 20:44:17