Pokaż wyniki 1 do 6 z 6

Temat: Ataki na CMS

  1. #1
    Zarejestrowany
    Sep 2011
    Postów
    3

    Domyślnie Ataki na CMS

    Witam

    Chciałbym niedługo stworzyć własnego uniwersalnego CMS(zapewniam że jest sens) i chcę się podpytać ludzi lepiej ode mnie obeznanych w temacie hackingu jakie zabezpieczenia zastosować oczywiście nie chodzi mi o takie banały jak: hashowanie haseł, wycinanie tagów czy slashowanie treści przesyłanych przez formularz, ale o inne pomysły a oto info na temat projektu:

    użyte technologie:
    -MySQL
    -PHP
    -XHTML
    -Javascript


    serwer:
    -nieznany


    składniki:
    -index.php który będzie wyświetlał dynamicznie wszystkie podstrony
    -admin.php z systemem logowania do panelu zarządzania
    -moduł do wpisywania komentarzy na index.php
    -baza MySQL


    jeśli ktoś ma jakieś pomysły na co zwrócić uwagę to byłbym bardzo wdzięczny

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Uprzedzam, że lista to zaledwie zarys zagadnień

    • MVC,
    • wyrażena regularne na każdym inpucie usera,
    • stored procedures,
    • najniższe możliwe uprawnienie usera uruchamiającego proces serwera httpd (jail),
    • załadowanie jedynie niezbędnych modułów serwera httpd,
    • rozdzielenie panelu administracyjnego od jednostki głównej.
    • baza danych i serwer aplikacji nie ma prawa być na tym samym hoście,
    • trzecia postać normalna bazy danych

  3. #3
    Zarejestrowany
    Sep 2011
    Postów
    3

    Domyślnie

    Dzięki za pomoc

    -wyrażenia regularne to wiem
    -uprawnienia i ładowane modułów httpd nie zależą ode mnie bo mój CMS jest przeznaczony dla serwerów wirtualnych wiec nie mam na to wpływu i myślę że administratorzy o to zadbali
    -baza MySQL jest na innym host-cie
    -nie wiem o co ci dokładnie chodzi z rozdzielaniem administracji od jednostki głównej, będą oddzielne pliki i w miarę możliwości też oddzielni użytkownicy MySQL

    byłbym wdzięczny gdyby ktoś wyjaśnił zagadnienia( jak zabezpieczyć ):
    -MVC
    -stored procedures
    -trzecia postać normalna bazy danych
    Ostatnio edytowane przez utf-8 : 09-11-2011 - 11:25

  4. #4
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Cytat Napisał utf-8 Zobacz post
    byłbym wdzięczny gdyby ktoś wyjaśnił zagadnienia( jak zabezpieczyć ):
    -MVC
    Let me google that for you

    Cytat Napisał utf-8 Zobacz post
    -stored procedures
    MySQL :: MySQL 5.0 Reference Manual :: 17.2 Using Stored Routines (Procedures and Functions)

    Cytat Napisał utf-8 Zobacz post
    -trzecia postać normalna bazy danych
    A Simple Guide to Five Normal Forms in Relational Database Theory

    Podsumowując: nie znasz fundamentalnych podstaw projektowania i implementacji aplikacji webowych a pytasz się za ich zabezpieczanie. Zabrałeś się od złej strony biorąc się za ten projekt. Nie potrafisz albo nie chce ci się sprawdzić w internecie znaczenia wymienionych przeze mnie zagadnień - w ten sposób do niczego nie dojdziesz.

    Pisz ten projekt - zdobędziesz doświadczenie, ale przygotuj się na rozczarowanie i nie waż się upubliczniać a tym bardziej sprzedawać tego kodu.
    Ja ci jednak radzę zabrać się za dogłębne studiowanie tematu. Dzięki temu unikniesz banalnych błędów, które zostały udokumentowane i objaśnione, oszczędzisz sobie czasu.



  5. #5
    Zarejestrowany
    Sep 2011
    Postów
    3

    Domyślnie

    znam znaczenie tych zagadnień, może po prostu nie zrozumiałem co chciałeś mi przekazać wypisując je

    żeby była jasność:
    każesz mi z nich korzystać dla bezpieczeństwa czy w przypadku ich używania uważać na dziury ?

  6. #6
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Cytat Napisał utf-8 Zobacz post
    znam znaczenie tych zagadnień, może po prostu nie zrozumiałem co chciałeś mi przekazać wypisując je
    Nie znasz ich, ponieważ nie rozumiesz, co chciałem przekazać. Każdy wymieniony podpunkt to metoda zwiększająca bezpieczeństwa.

    Cytat Napisał utf-8 Zobacz post
    żeby była jasność:
    każesz mi z nich korzystać dla bezpieczeństwa czy w przypadku ich używania uważać na dziury ?
    Kolejny dowód na to, że nie wiesz o czym piszę i nie czytasz podanych przeze mnie materiałów - nie szanujesz mojego czasu.
    Stored procedures to z definicji metoda przetwarzania zapytań sql pod kątem bezpieczeństwa. Oto cytat z podanego wcześniej linku:
    When security is paramount. Banks, for example, use stored procedures and functions for all common operations. This provides a consistent and secure environment, and routines can ensure that each operation is properly logged. In such a setup, applications and users would have no access to the database tables directly, but can only execute specific stored routines.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj