Pokaż wyniki 1 do 1 z 1

Temat: PREtector, czyli zabezpieczenie przez wszelkimi atakami na strony www

  1. #1
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie PREtector, czyli zabezpieczenie przez wszelkimi atakami na strony www

    Nawiązując do jednego z wątków apropo zabezpieczeń przed włamaniami na strony www, prezentuje skrypt (dalej zwany "Pretector") pozwalający zabezpieczyć stronę, przed wszelkiego rodzaju injectami, czyli 100% tego co robią exploity na luki w aplikacjach webowych.

    Troche technicznego szumu:
    Skrypt swoje działanie opiera na php.ini dyrektywa file_prepend, ta opcja pozwala na uruchomienie dowolnego kodu php w każdym skrypcie php na serwerze, łatwo się domyśleć, że w tym przypadku dowolnym kodem będzie "Pretector". Skryp dokonuje walidacji danych wejściowych, czyli tablic superglobalnych: $_GET, $_POST, $_COOKIE, $_FILE, $_SESSION, $_SERVER, $_REQUEST. Aby wdrożenie tego zabezpieczenia zakończyło się pełnym sukcesem, warto przez pewien okres czasu przełączyć skrypt w tryb testowy, przez ten czas będzie on jedynie zapisywał w bazie danych jakie zmiany chciał wprowadzić do zmiennych, po okresie próbnym przeglądamy zawartość i decydujemy czy działanie "Pretectora" może w negatywny sposób wpłynąć na pracę strony, konkretnie chodzi o usuwanie ze zmiennych znaków, które wcale nie były próbą ataku.

    Skrypt celowo napisany proceduralnie aby zaoszczędzić nieco wydajności.

    Czekam na komentarze

    /edit

    Klucze:
    Trzeba się zastanowić nad walidacją kluczy, jednakże:
    1. Każda ingerencja w nazwe klucza prawie na pewno spowoduje błędne działanie aplikacji.
    2. Nie spotkałem się jeszcze z bugiem którego możnaby wyeksploitować przez inject w kluczu...

    Dane binarne:
    Walidacje danych binarnych przy tym skomplikowaniu skryptu możnaby sobie darmować, dokonałem jednak przykrego odkrycia,
    funkcja is_binary() dostępna jest dopiero od PHP v6.0 :/ Także w tej chwili nie widze prostej metody na rozpoznanie czy do funkcji walidującej zostały przekazane dane binarne.
    Załączone Pliki Załączone Pliki
    Ostatnio edytowane przez lame : 12-01-2009 - 11:21
    światło mądrości oświetla drogę z nikąd do nikąd

Podobne wątki

  1. Detekcja firewalla i AV przez www?
    By zubeldia2 in forum Inne języki
    Odpowiedzi: 0
    Autor: 11-02-2009, 17:33
  2. Odpowiedzi: 2
    Autor: 05-02-2009, 16:13
  3. Błędy na www - wykorzystanie/zabezpieczenie
    By Kapec in forum Newbie - dla początkujących!
    Odpowiedzi: 5
    Autor: 07-12-2008, 20:58
  4. Zabezpieczenie WWW-PROBLEM
    By Iwan in forum Security
    Odpowiedzi: 7
    Autor: 05-16-2008, 20:51
  5. Włam przez google do strony?
    By morten in forum Google hacks
    Odpowiedzi: 3
    Autor: 10-22-2007, 16:38

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj