Segurança Na Internet

velho.. gostei do seu tópico... tipo soh acho q devia colocar também, soh pra terminar uma referência a filtros gerais.. não soh de SQL injection...

tipo, pra scripts em geral... uma falha bem comum em murais q pela falta da mesma, acabam ficando abertos a sacanagens e modificações...

Explico:

imagine se em seu mural (sem filtro), alguém posta uma mensagem:

<script>while(true){alert("PAM!");}</script>

Quando seu ASP for ler o banco, ele simplesmente escreverá um script para todos os usuários, fazendo com q uma mensagem fique permanentemente na tela.. agora imagine isto com janelas... seria um inferno de janelas.....

para se ter uma idéia do que estou falando.. entrem em:
www.cliquenabalada.com.br
e postem uma mensagem com script no mural....
ninguem quer isso em seu site, correto?!

pois bem... para evitar isso, coloque antes de mandar os textos pro banco ou antes de escrever, um replace, removendo o sinal de menor e maior (<,>), mais ou menos assim:

Replace (variavel, ">", "")
Replace (variavel, "<", "")

cabô... duas linhas e nenhuma preocupação... rs..

(parabéns pela promoção iporto)

flws..

Com relação a isso, o Server.HTMLEncode que foi citado no 1º post já resolveria isso.

boa... vivendo e aprendendo...
num dá tempo d testar agora, mas quando der, vo dá uma olhada...

tipo, prefiro sempre o replace pq tenho certeza do q tah rolando.

flws...

Parabéns pelo Tópico Iporto

- Me desculpe se eu estiver fugindo um pouco do assunto.

Mas se eu colocar em meu site, um sistema, para gravar os IPs , de quem entra na admnistração.

Há algum orgão responsável, que se eu sei o IP do cara que mexeu em meu site,
eles conseguem descobrir de onde é o kara ???
Se a resposta for não. Não seria muito util, isto. naum eh ?

heheh

----- Outra dúvida -
Eh aconselhavel eu colocar os códigos para prever erros somente no Login, ou tambem em todas as páginas q fazem consultas usando o SqL.
Desculpe-me . seu minha dúvida eh uma koisa absurda... hehehe

Well

Edição feita por: Well, 18/10/2004, 17:50.

Pelo seu IP, é possivel chegar na sua casa. Basta vc ir na policia e pedir, dizendo que vc foi roubado. Num vai adiantar se o cara invadiu de uma lan house por exemplo, mas é mais uma forma de controle, mas é possivel chegar na sua casa sim, pelo seu IP.

Tratamentos em todas as paginas que tenha SQL... o login foi apenas um exemplo... vc tem que prever erros em querystring's... e mais uma muntueira de coisa...

Podemos tratar na seguranças nas URL's aqui tb.. que é uma forma de provocar muitos erros no seu site... e que pouquissimas pessoas cuidam disso,

exemplo... o site da casa dos artistas num fizeram tratamento nas URL"s digita alguma coisa invalida la... vai dar erro...

Entaum seria bom deixar um sistema para gravar o IP e o Host de quem entra na administração do site..
Utilizando o cód.

Request.ServerVariables("remote_addr")
Request.ServerVariables("remote_host")

....... É útil Criptografar as QueryStrings, na barra de endereço ?

Vlw Iporto .. Em qualquer posto policial, eu posso pedir ? e como funciona. Cada vez que eu me conecto na Internet , fika entaum um arquivo de log. sei lah aonde.

. Ou seja. na adminitração seria ideal entaum gravar Ip,Host,Data,Hora. . e mais alguma informação eh importante ?

E sites que possue "SSL 128" isto ajuda em que ?


* Me deskulpe se fugi um pouko do assunto, ou postei algo nd a ve

Vlws

WeLL

Complementando... aqui foi citado por mim, sobre sessions de nomes diferentes para dificultar... dai foi citado que as sessions ficavam no server... intão to passando um tutorial que li, que mostra como passar as sessions de um server para o outro...

Materia

Mais um motivo para vc cuidar das suas sessions... hehe, ta em ingles, mas vale apena dar uma lida...

q viagem!!!!!
pra quem guarda dados de cliente em Sessions, ferrô... tipo q normalmente jogo os dados criptografados e só qnd são necessários... caso contrário, crio apenas uma session de controle pra saber c o cara tah logado e talz....

flws...

Edição feita por: Tx.NET, 16/11/2004, 08:20.

Topico bastante util, nota 10

tira uma duvida minha
no meu sistema de login, caso entre com usuario e senha invalida, ele joga um alerta dizendo que nao esta cadastrado e redireciona pra pagina de cadastro...
é inseguro fazer dessa forma? ha como burlar alguma coisa e entrar no sistema logado???

valeu

inseguro so se as sessions forem com nome das mensionadas... por que no seu sistema de logins.. deve ter uma pagina que verifica se a session esta vazia... se estiver vazia tem que fazer login... e com aquele codigo que passei se eu souber o nome da sua session, eu consigo passar...

e de sempre mensagens genericas em sistema de logins tipo "usuario ou senha invalidos" dai o hacker num vai saber o que ta errado, ja vi sistemas que dizem "senha invalida" pronto, ja sei que o usuario passou, basta eu descobrir a senha... entende... são coisas minimas a se fazer que ja da uma boa segurança ao sistema... o basico seria isso...

Video aula sobre SQLinjection

http://www.extremeha.../videos/sql.htm

aos que só acreditam vendo.. hahahahah

mas se colocar um codigo com if pra verificar o login
if login = 'or''='
resp. errado

nao tem como entrar ne?
ou ainda tem? hehehehe

ou um include verifica.asp com esse codigo bloqueia???

No primeiro post ate falei do replace que ja inibi isso, mas infelizmente, ou felizmente né... tem gente que nem isso usa... mas postei o video mais para ficar como um complemento...

mas basta vc trocar ' por '' que ja arruma isso com replace....

que eu saiba né... me corrijam se eu estiver errado...

e ai blz..... viu via querystring o cara pode apagar ou inserir registros na tabela????

sim.. c o site tiver falha de SQL injection, sim.

flws...

Excelente tópico.

Só para acrescentar, fazer uma máquina se passar por outra na net não é difícil, não vou botar nem o nome da técnica aqui para não ajudar ninguém a fazer isso, mas pode teer certeza que é facil.

Uma sugestão quanto a arquivos com dados importantes que não deveriam ser vistos, coloque - os fora do www_root, isso já dificultaria bastante o acesso a eles, já que para abrir um arquivo fora da acima da pasta www, o hacker precisará invadir o servidor e não só procurar erros nas páginas.

Abraços.

Tá, vc´s colocaram tudo isso ai, mas, como é segurança para PHP ?


=============================
Letra grande não pode...

Edição feita por: LeoB, 28/11/2004, 12:39.