Jump to content


Photo

Invadir Servidor E Baixar Páginas


  • Faça o login para participar
13 replies to this topic

#1 Voygi

Voygi

    Novato no fórum

  • Usuários
  • 12 posts
  • Sexo:Masculino
  • Localidade:Alta

Posted 03/10/2010, 18:20

Galera, eu preciso autenticar usuários, mais, não quero mexer com banco de dados, e quero colocar a autenticação mais ou menos assim:

<?
$user = $_POST["user"];
$senha = $_POST["senha"];
       

       if($user == "joão" || $senha == "123"){
         setcookie.... ações... etc.
}
      elseif($user == "maria" || $senha == "321"){
         setcookie.... ações... etc.
}

/* Tudo acima foi um exemplo */

?>  

Mas, um moderador aqui mesmo me disse que poderiam baixar as páginas com FTP do servidor. Eu pergunto: como alguém vai consegui invadir um dos 10 melhores servidores do mundo que é o que eu uso e baixar minhas páginas com os códigos, isso é possível?

Edição feita por: Voygi, 03/10/2010, 18:21.


#2 LeoB

LeoB

    Super Veterano

  • Usuários
  • 1876 posts
  • Sexo:Masculino
  • Interesses:Programação

Posted 03/10/2010, 19:18

Se for pensar por essa linha, do mesmo jeito que poderiam baixar suas páginas poderiam acessar o seu banco. Desencana.

#3 Voygi

Voygi

    Novato no fórum

  • Usuários
  • 12 posts
  • Sexo:Masculino
  • Localidade:Alta

Posted 03/10/2010, 21:43

Se for pensar por essa linha, do mesmo jeito que poderiam baixar suas páginas poderiam acessar o seu banco. Desencana.

Cê entendeu meu velho. eu queria ter pessoas como você como amigo, você tem um bom raciocínio das coisas e pessoas assim é difícil encontrar, eu só encontro zé ruela, me bajulando por conta do que eu sou, mas poucos demonstram inteligência. Eu digo o seguinte, banco é mais para organizar muitos dados, mas, a linha de segurança é feita na conexão para o banco, na inserção de valores no banco, na extração de valores do banco, ou seja, quem faz isso é o banco ou a server side, claro que banco é apenas para armazenar, o poder está no php.

<?
$info = setcookie("wmonline","Programador é o ser mais inportante hoje no mundo",(time() + 30 * 24 * 3600));
echo $info;
print = "risos";
?>

Edição feita por: Voygi, 03/10/2010, 21:47.


#4 LeoB

LeoB

    Super Veterano

  • Usuários
  • 1876 posts
  • Sexo:Masculino
  • Interesses:Programação

Posted 03/10/2010, 22:07

Entendi nada, mas, se concordamos, então está bom.

#5 Alexx Ares

Alexx Ares

    Doutor

  • Usuários
  • 921 posts
  • Sexo:Masculino
  • Localidade:Santos - SP

Posted 04/10/2010, 08:06

Pois é, segurança envolve muitos fatores.

Sou meio paranoico, vivo testando e verificando cada detalhe dos scripts para não ter brecha para injections, etc., e esses dias me liga um cliente desesperado pois o site apresentava uma pagina preta com mensagens comunistas... pois é, quase tive um infarto pensando "onde foi que eu errei" e não é que invadiram o servidor através de uma brecha no sistema operacional? Foi na Locaweb, eles inclusive emitiram um comunicado publico pois varios sites naquele servidor especifico (compartilhado) tinham sido invadidos por essa brecha, nada a ver com os scripts...

Entao se quer algo 100% seguro, tem que pensar além do PHP, estudar muito (ou contratar gente "estudada"), ter um servidor próprio / dedicado, etc... o PHP é só um detalhe (importante, mas detalhe e dependente de toda uma estrutura por trás).

:)(y)
||| PENSE NISSO ||| O ser humano, dizem, deve dormir 8 horas por dia. Isso equivale a 1 terço do seu dia dormindo. Agora imagine a seguinte situação: você, com 75 anos, prestes a morrer, olha para trás e percebe que dormiu 1 terço da sua vida, ou seja, 25 anos. Cara... 25 ANOS DORMINDO !!! Se você tem menos de 25 anos, simplesmente você vai dormir mais do que viveu até hoje!!! Pense nisso... e durma menos.

#6 André Manoel

André Manoel

    Doutor

  • Usuários
  • 996 posts
  • Sexo:Masculino
  • Localidade:Brasilia

Posted 04/10/2010, 10:34

A segurança é muito relativa...!
Depende de muitos fatores para você dizer que está seguro...
E nada é 100% seguro...

O google usa um banco para armazenar os usuários que não são poucos e utiliza os cookies para armazenar dados de usuários logados...

Se no seu caso você tiver somente um usuário para acessar o sistema... não compensa criar uma tabela somente para isso.
Pode usar essa validação que vc colocou no código, pode colocar uma autenticação pelo servidor...
Pode usar cookies... proteger diretórios e armazenar as senhas em um arquivo txt...

Enfim... qualquer coisa... a segurança da sua aplicação depende de vc...!
E aí qual vai ser a da vez?

:ponder:
Iniciando na Ajuda On line...

Posted Image Meu post lhe ajudou? Reputar/votar é uma das formas de agradecer.

#7 Voygi

Voygi

    Novato no fórum

  • Usuários
  • 12 posts
  • Sexo:Masculino
  • Localidade:Alta

Posted 04/10/2010, 15:11

A segurança é muito relativa...!
Depende de muitos fatores para você dizer que está seguro...
E nada é 100% seguro...

O google usa um banco para armazenar os usuários que não são poucos e utiliza os cookies para armazenar dados de usuários logados...

Se no seu caso você tiver somente um usuário para acessar o sistema... não compensa criar uma tabela somente para isso.
Pode usar essa validação que vc colocou no código, pode colocar uma autenticação pelo servidor...
Pode usar cookies... proteger diretórios e armazenar as senhas em um arquivo txt...

Enfim... qualquer coisa... a segurança da sua aplicação depende de vc...!
E aí qual vai ser a da vez?

:ponder:


Então, muita gente diz que “a segurança está em banco de dados, mas, banco de dados não tem nada a ver com segurança, banco é para organizar, segurança é conexão segura, é scripts robustos e completos sem brecha.
O amigo acima disse que temos que contratar pessoal estudado né, pois é, mas muitas vezes é esse pessoal que deixa brecha, e muitas vezes são eles é quem invade por saber tudo sobre a empresa.
Tudo na minha empresa que diz respeito a segurança eu administro, e procuro estudar alguma coisa que estou em dúvida, ao invés de ficar entregando tudo na mão dos outros,nos podemos estudar e fazer melhor, pois, só agente sabe cuidar do que é nosso.

Antes de eu postar aqui eu já estava estudando a meses esta questão e agora chegou a hora de ouvir opiniões.


<?
$Agradecimentos_por_enquanto=" Agradeço a todos que tem discutido aqui fico grato";
echo "$Agradecimentos_por_enquanto";

$_strunc_adds = ("$Agradecimentos_por_enquanto" + (time() * 3600));

?>

Pois é, segurança envolve muitos fatores.

Sou meio paranoico, vivo testando e verificando cada detalhe dos scripts para não ter brecha para injections, etc., e esses dias me liga um cliente desesperado pois o site apresentava uma pagina preta com mensagens comunistas... pois é, quase tive um infarto pensando "onde foi que eu errei" e não é que invadiram o servidor através de uma brecha no sistema operacional? Foi na Locaweb, eles inclusive emitiram um comunicado publico pois varios sites naquele servidor especifico (compartilhado) tinham sido invadidos por essa brecha, nada a ver com os scripts...

Entao se quer algo 100% seguro, tem que pensar além do PHP, estudar muito (ou contratar gente "estudada"), ter um servidor próprio / dedicado, etc... o PHP é só um detalhe (importante, mas detalhe e dependente de toda uma estrutura por trás).

:)(y)



Gente estudada é você mesmo, mas pessoal para auxilio sim. É essa gente estudada que você diz que invade seu sistema, por conhecer suas fraquezas.

Hoje eu sou um dos melhores guitarristas do Brasil, eu estudava 8 horas por dia, o mesmo faço com programação para não ter que entregar tudo na mão de “gente estudada”, pois, só você sabe cuidar do que é seu

Edição feita por: Voygi, 04/10/2010, 15:02.


#8 Alexx Ares

Alexx Ares

    Doutor

  • Usuários
  • 921 posts
  • Sexo:Masculino
  • Localidade:Santos - SP

Posted 04/10/2010, 16:41

Sim, eu levo muito a sério o "quer algo bem feito, faça você mesmo", mas isso vai limitar sua vida (principalmente empresarial se for o caso). Tocar guitarra é uma coisa, criar sites institucionais simples para clintes pequenos é outra, e sistemas complexos com gerenciamento de dados seguros, milhares de usuários, etc. é outra completamente diferente.

Se você vai viver de um cliente só (ou um projeto seu), sim, estude e faça você mesmo... agora se quer ter uma empresa produtiva, grande, vai precisar necessariamente de funcionários, quanto mais, mais clientes e maior a empresa e, querendo ou não, vai ter que confiar em quem contrata, por isso, estude não só a programação (e verifique tudo que é feito) mas estude também como contratar pessoas e gerenciamento de pessoal, acompanhamento do trabalho, definição de tarefas e responsabilidades, contrate pessoal só para verificar o trabalho e testar segurança, etc, etc...

Você pode até tocar guitarra e ser o melhor do Brasil, mas para tocar uma boa música vai precisar de uma banda...

:)(y)
||| PENSE NISSO ||| O ser humano, dizem, deve dormir 8 horas por dia. Isso equivale a 1 terço do seu dia dormindo. Agora imagine a seguinte situação: você, com 75 anos, prestes a morrer, olha para trás e percebe que dormiu 1 terço da sua vida, ou seja, 25 anos. Cara... 25 ANOS DORMINDO !!! Se você tem menos de 25 anos, simplesmente você vai dormir mais do que viveu até hoje!!! Pense nisso... e durma menos.

#9 Voygi

Voygi

    Novato no fórum

  • Usuários
  • 12 posts
  • Sexo:Masculino
  • Localidade:Alta

Posted 04/10/2010, 17:50

Sim, eu levo muito a sério o "quer algo bem feito, faça você mesmo", mas isso vai limitar sua vida (principalmente empresarial se for o caso). Tocar guitarra é uma coisa, criar sites institucionais simples para clintes pequenos é outra, e sistemas complexos com gerenciamento de dados seguros, milhares de usuários, etc. é outra completamente diferente.

Se você vai viver de um cliente só (ou um projeto seu), sim, estude e faça você mesmo... agora se quer ter uma empresa produtiva, grande, vai precisar necessariamente de funcionários, quanto mais, mais clientes e maior a empresa e, querendo ou não, vai ter que confiar em quem contrata, por isso, estude não só a programação (e verifique tudo que é feito) mas estude também como contratar pessoas e gerenciamento de pessoal, acompanhamento do trabalho, definição de tarefas e responsabilidades, contrate pessoal só para verificar o trabalho e testar segurança, etc, etc...

Você pode até tocar guitarra e ser o melhor do Brasil, mas para tocar uma boa música vai precisar de uma banda...

:)(y)


Entendo você por que não me conhece. Tenho muitos funcionários e confio neles. Outra coisa não preciso de banda, pois já tenho e sou orgulhoso. Se você gosta de rock melódico deve conhecer minha banda em que toco a 10 anos. Banda Angra. Eu uso este fórum nas horas vagas e não para me expor e falar de mim, vivo com gente me bajulando o tempo todo, quero ser anônimo um pouco, se vocês respeitarem isso. se não posso encerrar minha conta e continuar minha vida.

#10 Alexx Ares

Alexx Ares

    Doutor

  • Usuários
  • 921 posts
  • Sexo:Masculino
  • Localidade:Santos - SP

Posted 04/10/2010, 19:10

Heheh.. conheço sim e gosto do som (mas fica tranquilo, não vou ficar te bajulando... não é meu estilo).

Então você sabe exatamente o que eu disse, por mais que você se esforce sozinho, seja o melhor, você é um só, para um bom trabalho precisa de equipe e gente de confiança, senão fica limitado. Assim como para mostrar teu trabalho de melhor forma, precisa da banda, sozinho é legal mas não é completo.

Só não entendi por que encerrar a conta, ninguem falou nada disso....

Bom, voltando ao tópico, em resumo: se é um projeto seu, e quer 100% segurança (99,99 pois nada é 100% seguro...), faça tudo sozinho. E se tiver grana, contrata um servidor dedicado e instala ele (você vai ter que estudar tudo, desde o sistema operacional, servidor, firewall, enfim... muita coisa... vai demorar bastante).Ainda assim, o servidor vai estar em uma empresa, mais seguro que isso só se você mesmo tiver um servidor na sua empresa e hospedar ali sua aplicação, mas aí tem todo equipamento, rede fisica, etc.

Qualquer site em servidor compartilhado (esses de 20 reais por mês) nunca vai ter uma segurança confiável, mas também é bem raro ter problema de segurança em grandes empresas como UOL, Locaweb, etc.. (o problema maior dos compartilhados é a lentidão em horarios de pico, etc.).

Então avalia bem o nível de segurança que precisa, também não precisa ser paranóico com coisa mais simples (apensar de eu já estar um pouco).

E voltando ao seu exemplo inicial, primeiro não sei se reparou mas tem um erro ali, você usou || (OR) no lugar de && (AND) ou seja, se o usuario digitar joao OU 123 vai entrar... tem que ser joao E 123.

E no lugar de cookies, pode usar sessions, que eu acho mais simples manipular, ou ainda arquivos de texto ou banco de dados para gerenciar sem precisar de cookies.

Se eu falei alguma besteira alguem corrija por favor.

:)(y)
||| PENSE NISSO ||| O ser humano, dizem, deve dormir 8 horas por dia. Isso equivale a 1 terço do seu dia dormindo. Agora imagine a seguinte situação: você, com 75 anos, prestes a morrer, olha para trás e percebe que dormiu 1 terço da sua vida, ou seja, 25 anos. Cara... 25 ANOS DORMINDO !!! Se você tem menos de 25 anos, simplesmente você vai dormir mais do que viveu até hoje!!! Pense nisso... e durma menos.

#11 LeoB

LeoB

    Super Veterano

  • Usuários
  • 1876 posts
  • Sexo:Masculino
  • Interesses:Programação

Posted 04/10/2010, 20:09

Pra sistema de login sessão é melhor mesmo. E banco de dados ele já disse que não quer usar. Invasões por FTP nem sei se acontecem ainda. O protocolo está aí há tanto tempo. Se existir problema, vai ser na implementação do programa servidor ou em algum outro programa rodando.

Usar servidor dedicado também pode ser exagero. A gente nem sabe que sistema é esse. Se for só um sistema pra manter o conteúdo de um site, é desnecessário. E tem muita empresa com servidor compartilhado de confiança, como a dreamhost, por exemplo. Pelo menos nunca vi uma reclamação sobre eles.

#12 Voygi

Voygi

    Novato no fórum

  • Usuários
  • 12 posts
  • Sexo:Masculino
  • Localidade:Alta

Posted 04/10/2010, 20:32

Heheh.. conheço sim e gosto do som (mas fica tranquilo, não vou ficar te bajulando... não é meu estilo).

Então você sabe exatamente o que eu disse, por mais que você se esforce sozinho, seja o melhor, você é um só, para um bom trabalho precisa de equipe e gente de confiança, senão fica limitado. Assim como para mostrar teu trabalho de melhor forma, precisa da banda, sozinho é legal mas não é completo.

Só não entendi por que encerrar a conta, ninguem falou nada disso....

Bom, voltando ao tópico, em resumo: se é um projeto seu, e quer 100% segurança (99,99 pois nada é 100% seguro...), faça tudo sozinho. E se tiver grana, contrata um servidor dedicado e instala ele (você vai ter que estudar tudo, desde o sistema operacional, servidor, firewall, enfim... muita coisa... vai demorar bastante).Ainda assim, o servidor vai estar em uma empresa, mais seguro que isso só se você mesmo tiver um servidor na sua empresa e hospedar ali sua aplicação, mas aí tem todo equipamento, rede fisica, etc.

Qualquer site em servidor compartilhado (esses de 20 reais por mês) nunca vai ter uma segurança confiável, mas também é bem raro ter problema de segurança em grandes empresas como UOL, Locaweb, etc.. (o problema maior dos compartilhados é a lentidão em horarios de pico, etc.).

Então avalia bem o nível de segurança que precisa, também não precisa ser paranóico com coisa mais simples (apensar de eu já estar um pouco).

E voltando ao seu exemplo inicial, primeiro não sei se reparou mas tem um erro ali, você usou || (OR) no lugar de && (AND) ou seja, se o usuario digitar joao OU 123 vai entrar... tem que ser joao E 123.

E no lugar de cookies, pode usar sessions, que eu acho mais simples manipular, ou ainda arquivos de texto ou banco de dados para gerenciar sem precisar de cookies.

Se eu falei alguma besteira alguem corrija por favor.

:)(y)



Você responde rápido em mano, um abraço.

Quanto ao código eu não uso nenhuma das duas formas.

Pra sistema de login sessão é melhor mesmo. E banco de dados ele já disse que não quer usar. Invasões por FTP nem sei se acontecem ainda. O protocolo está aí há tanto tempo. Se existir problema, vai ser na implementação do programa servidor ou em algum outro programa rodando.

Usar servidor dedicado também pode ser exagero. A gente nem sabe que sistema é esse. Se for só um sistema pra manter o conteúdo de um site, é desnecessário. E tem muita empresa com servidor compartilhado de confiança, como a dreamhost, por exemplo. Pelo menos nunca vi uma reclamação sobre eles.


Na verdade é basicamente isso, quero que entendam que minha empresa é sólida não tem nada a ver com esta postágem, é para um outro projeto que deve ir ao ar já já, é o seguinte meus cliêntes terão uma área de gerenciamento, nessa área ele gerencia o serviço que ele adquiriu, nessa área o cara vai ter acesso a tudo, ou seja, qualquer um que tiver acesso a esta área terá todos os previlégios, entendeu por que estou preocupado, não é questão de BD e sim de segurança, meu sistema valida todos meus cliêntes por geoIp se alguém tentar acessar de outra região como o meu cliênte pode viajar e acessr de outra região mesmo, com ajax á página entra no modo de segurança.

#13 LeoB

LeoB

    Super Veterano

  • Usuários
  • 1876 posts
  • Sexo:Masculino
  • Interesses:Programação

Posted 04/10/2010, 20:40

Sendo um sistema que vários clientes usarão e que parece ser importante, pela sua descrição, realmente um servidor dedicado pode ser uma boa. Mas se está usando o login desse modo só pra evitar autenticar no banco, não precisa. Quase sempre o servidor web e o banco estão na mesma máquina. Assim as conexões com o banco são locais. Você configura lá pra não aceitar conexões remotas, ou então bloqueia a porta no firewall e pronto. Sobre o geoip, só recomendo não confiar demais nisso, porque pode ser contornado com o uso de proxies.

#14 Voygi

Voygi

    Novato no fórum

  • Usuários
  • 12 posts
  • Sexo:Masculino
  • Localidade:Alta

Posted 04/10/2010, 21:16

Sendo um sistema que vários clientes usarão e que parece ser importante, pela sua descrição, realmente um servidor dedicado pode ser uma boa. Mas se está usando o login desse modo só pra evitar autenticar no banco, não precisa. Quase sempre o servidor web e o banco estão na mesma máquina. Assim as conexões com o banco são locais. Você configura lá pra não aceitar conexões remotas, ou então bloqueia a porta no firewall e pronto. Sobre o geoip, só recomendo não confiar demais nisso, porque pode ser contornado com o uso de proxies.


É verdade meu velho essas medidas podem ser úteis mesmo. Ah, puxa! você venceu qualquer um em resposta rápida.




1 user(s) are reading this topic

0 membro(s), 1 visitante(s) e 0 membros anônimo(s)

IPB Skin By Virteq