Jump to content


Photo

Segurança Na Internet


  • Faça o login para participar
94 replies to this topic

#16 Tx.NET

Tx.NET

    || ||||||| ||| ||||||||

  • Banidos
  • PipPipPipPipPipPipPip
  • 619 posts
  • Sexo:Não informado

Posted 18/10/2004, 10:54

velho.. gostei do seu tópico... tipo soh acho q devia colocar também, soh pra terminar uma referência a filtros gerais.. não soh de SQL injection...

tipo, pra scripts em geral... uma falha bem comum em murais q pela falta da mesma, acabam ficando abertos a sacanagens e modificações...

Explico:

imagine se em seu mural (sem filtro), alguém posta uma mensagem:

<script>while(true){alert("PAM!");}</script>

Quando seu ASP for ler o banco, ele simplesmente escreverá um script para todos os usuários, fazendo com q uma mensagem fique permanentemente na tela.. agora imagine isto com janelas... seria um inferno de janelas.....

para se ter uma idéia do que estou falando.. entrem em:
www.cliquenabalada.com.br
e postem uma mensagem com script no mural....
ninguem quer isso em seu site, correto?!

pois bem... para evitar isso, coloque antes de mandar os textos pro banco ou antes de escrever, um replace, removendo o sinal de menor e maior (<,>), mais ou menos assim:

Replace (variavel, ">", "")
Replace (variavel, "<", "")


cabô... duas linhas e nenhuma preocupação... rs..

(parabéns pela promoção iporto)

flws.. (y)

Com relação a isso, o Server.HTMLEncode que foi citado no 1º post já resolveria isso.

boa... vivendo e aprendendo...
num dá tempo d testar agora, mas quando der, vo dá uma olhada...

tipo, prefiro sempre o replace pq tenho certeza do q tah rolando.

flws... (y)
> ls -la
-rwxr-xr-- 1 fmaynnard user 9666 nov 28 00:00 hell

> shutdown -h now

#17 Well

Well

    ....

  • Usuários
  • 132 posts
  • Sexo:Masculino

Posted 18/10/2004, 17:24

Parabéns pelo Tópico Iporto

- Me desculpe se eu estiver fugindo um pouco do assunto.

Mas se eu colocar em meu site, um sistema, para gravar os IPs , de quem entra na admnistração.

Há algum orgão responsável, que se eu sei o IP do cara que mexeu em meu site,
eles conseguem descobrir de onde é o kara ???
Se a resposta for não. Não seria muito util, isto. naum eh ?

heheh

----- Outra dúvida -
Eh aconselhavel eu colocar os códigos para prever erros somente no Login, ou tambem em todas as páginas q fazem consultas usando o SqL.
Desculpe-me . seu minha dúvida eh uma koisa absurda... hehehe :(

Well

Edição feita por: Well, 18/10/2004, 17:50.

.

#18 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 18/10/2004, 18:02

Pelo seu IP, é possivel chegar na sua casa. Basta vc ir na policia e pedir, dizendo que vc foi roubado. Num vai adiantar se o cara invadiu de uma lan house por exemplo, mas é mais uma forma de controle, mas é possivel chegar na sua casa sim, pelo seu IP.

Tratamentos em todas as paginas que tenha SQL... o login foi apenas um exemplo... vc tem que prever erros em querystring's... e mais uma muntueira de coisa...

Podemos tratar na seguranças nas URL's aqui tb.. que é uma forma de provocar muitos erros no seu site... e que pouquissimas pessoas cuidam disso,

exemplo... o site da casa dos artistas num fizeram tratamento nas URL"s digita alguma coisa invalida la... vai dar erro...


;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#19 Well

Well

    ....

  • Usuários
  • 132 posts
  • Sexo:Masculino

Posted 19/10/2004, 16:22

Entaum seria bom deixar um sistema para gravar o IP e o Host de quem entra na administração do site..
Utilizando o cód.

Request.ServerVariables("remote_addr")
Request.ServerVariables("remote_host")


:blink: ....... É útil Criptografar as QueryStrings, na barra de endereço ?

Vlw Iporto .. Em qualquer posto policial, eu posso pedir ? e como funciona. Cada vez que eu me conecto na Internet , fika entaum um arquivo de log. sei lah aonde.

. Ou seja. na adminitração seria ideal entaum gravar Ip,Host,Data,Hora. . e mais alguma informação eh importante ?

E sites que possue "SSL 128" isto ajuda em que ?


* Me deskulpe se fugi um pouko do assunto, ou postei algo nd a ve

Vlws

WeLL
.

#20 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 15/11/2004, 17:13

Complementando... aqui foi citado por mim, sobre sessions de nomes diferentes para dificultar... dai foi citado que as sessions ficavam no server... intão to passando um tutorial que li, que mostra como passar as sessions de um server para o outro...

Materia

Mais um motivo para vc cuidar das suas sessions... hehe, ta em ingles, mas vale apena dar uma lida...

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#21 Tx.NET

Tx.NET

    || ||||||| ||| ||||||||

  • Banidos
  • PipPipPipPipPipPipPip
  • 619 posts
  • Sexo:Não informado

Posted 16/11/2004, 08:15

q viagem!!!!!
pra quem guarda dados de cliente em Sessions, ferrô... tipo q normalmente jogo os dados criptografados e só qnd são necessários... caso contrário, crio apenas uma session de controle pra saber c o cara tah logado e talz....

flws... (y)

Edição feita por: Tx.NET, 16/11/2004, 08:20.

> ls -la
-rwxr-xr-- 1 fmaynnard user 9666 nov 28 00:00 hell

> shutdown -h now

#22 leanjo

leanjo

    Doutor

  • Usuários
  • 912 posts
  • Sexo:Não informado
  • Interesses:...

Posted 16/11/2004, 10:45

Topico bastante util, nota 10

tira uma duvida minha
no meu sistema de login, caso entre com usuario e senha invalida, ele joga um alerta dizendo que nao esta cadastrado e redireciona pra pagina de cadastro...
é inseguro fazer dessa forma? ha como burlar alguma coisa e entrar no sistema logado???

valeu

#23 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 16/11/2004, 12:08

inseguro so se as sessions forem com nome das mensionadas... por que no seu sistema de logins.. deve ter uma pagina que verifica se a session esta vazia... se estiver vazia tem que fazer login... e com aquele codigo que passei se eu souber o nome da sua session, eu consigo passar...

e de sempre mensagens genericas em sistema de logins tipo "usuario ou senha invalidos" dai o hacker num vai saber o que ta errado, ja vi sistemas que dizem "senha invalida" pronto, ja sei que o usuario passou, basta eu descobrir a senha... entende... são coisas minimas a se fazer que ja da uma boa segurança ao sistema... o basico seria isso...

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#24 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 16/11/2004, 23:37

Video aula sobre SQLinjection

http://www.extremeha.../videos/sql.htm

aos que só acreditam vendo.. hahahahah

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#25 leanjo

leanjo

    Doutor

  • Usuários
  • 912 posts
  • Sexo:Não informado
  • Interesses:...

Posted 17/11/2004, 00:34

mas se colocar um codigo com if pra verificar o login
if login = 'or''='
resp. errado

nao tem como entrar ne?
ou ainda tem? hehehehe

ou um include verifica.asp com esse codigo bloqueia???

#26 Luis Otávio

Luis Otávio

    Super Veterano

  • Usuários
  • 3113 posts
  • Sexo:Masculino
  • Localidade:Porto Alegre
  • Interesses:- Desenvolvimento de aplicações Web com linguagem server-side PHP.

    - Desenvolvimento de aplicações Web com linguagem cliente-side JavaScript, conhecedor e utilizador da biblioteca jQUERY e todas suas características.

    - Otimização de Desempenho aplicados a performance de banco de dados Mysql.

    - Otimização de Desempenho para servidores Web utilizando-se como Webserver NGINX em conjunto com Varnish.

    - Sólidos conhecimentos no CMS WordPress para novas implementações, manutenção, criação e otimização de Plugins.

    - Práticas de atendimento, relacionamento e suporte ao cliente. Trabalhando voltado ao público desde o lançamento da empresa iPORTO.COM, criando laços e vínculos com os mais de Mil clientes da empresa e os braços do grupo.

Posted 17/11/2004, 01:10

No primeiro post ate falei do replace que ja inibi isso, mas infelizmente, ou felizmente né... tem gente que nem isso usa... mas postei o video mais para ficar como um complemento...

mas basta vc trocar ' por '' que ja arruma isso com replace....

que eu saiba né... me corrijam se eu estiver errado...

;) (y)
* Otávio Nogueira
* Administração e Configuração de Servidores;
* Combinação Perfeita: NGINX + PHP + VARNISH + HAPROXY
* otavio*iporto.com ~ Tel: +55 51 3366 0177 | +55 51 4063 7343 |
* @iporto

#27 bareta

bareta

    Normal

  • Usuários
  • 64 posts
  • Sexo:Não informado

Posted 27/11/2004, 11:13

e ai blz..... viu via querystring o cara pode apagar ou inserir registros na tabela????
fabiobareta@hotmail.com
-------------------------------------------------------------------
Sistemas CGMOTION a melhor solução para seu site!!!

Sistema de usuarios online
Galeria de imagens (atualizada)!!!
Sistema de bate papo!!!
Sistema de Noticias
Acesse já o forum CGMOTION

*o verdadeiro amigo não é aquele que aparta a briga, mas sim aquele que chega dando uma voadora*Posted Image

#28 Tx.NET

Tx.NET

    || ||||||| ||| ||||||||

  • Banidos
  • PipPipPipPipPipPipPip
  • 619 posts
  • Sexo:Não informado

Posted 27/11/2004, 14:32

sim.. c o site tiver falha de SQL injection, sim.

flws... (y)
> ls -la
-rwxr-xr-- 1 fmaynnard user 9666 nov 28 00:00 hell

> shutdown -h now

#29 brunoalves

brunoalves

    Linux user #392843

  • Ex-Admins
  • 1018 posts
  • Sexo:Não informado
  • Localidade:Rio de Janeiro

Posted 28/11/2004, 01:10

Excelente tópico.

Só para acrescentar, fazer uma máquina se passar por outra na net não é difícil, não vou botar nem o nome da técnica aqui para não ajudar ninguém a fazer isso, mas pode teer certeza que é facil.

Uma sugestão quanto a arquivos com dados importantes que não deveriam ser vistos, coloque - os fora do www_root, isso já dificultaria bastante o acesso a eles, já que para abrir um arquivo fora da acima da pasta www, o hacker precisará invadir o servidor e não só procurar erros nas páginas.

Abraços.

#30 todomundoquer.com

todomundoquer.com

    Novato no fórum

  • Usuários
  • 11 posts
  • Sexo:Não informado

Posted 28/11/2004, 03:47

Tá, vc´s colocaram tudo isso ai, mas, como é segurança para PHP ?


=============================
Letra grande não pode...

Edição feita por: LeoB, 28/11/2004, 12:39.





2 user(s) are reading this topic

0 membro(s), 2 visitante(s) e 0 membros anônimo(s)

IPB Skin By Virteq