Bezpečnost webu – PHP – Fórum – Programujte.com

Nebyl jsem si jist, kam přesně tohle vlákno zařadit, tak jsem ho hodil sem. Jaké znáte možnosti zabezpečení webu? Nebo-li jak zabránit někomu, aby se mi neboural do skriptu? Osobně znám C.A.P.T.C.H.A., dále SQL injection. Bezpečností jsem se začal zabývat teprve nedávno. Rád bych věděl, jaké jsou všechny možné prostředky a co třeba využíváte vy. Díky moc za veškeré podněty.

To DragonBehemont : ještě existuje php injection a ještě XSS

zhrniem len to co som pisal na inom fore. filtrovanie vsetkych vstupov a vystupov. najlepsie sposobom nazyvanym whitelist. znamena to odfiltrovat vsetko co nieje povolene. potencialne nebezpecne data skryvat pred uzivatelom, napriklad chybove hlasenia php pasera, pripadne mysql servera, nepouzivat robots.txt, neukladat mena s heslami do cookies, taktiez dobra konfiguracia apache, aj ked to skor zalezi od admina hostingu. tiez ti pomoze kontrolovat odkial data prisli, akou metodou, ich datovy typ, atd.

To Paja2 : V čem vlastně spočívá to php injection?

To DragonBehemont : nezabezpeceny includovani souboru..
vice info http://www.soom.cz/index.php?name=articles/show&aid=365

To pecan987 : Díky moc za ten odkaz... už jsem ho přelouskal celý a super. Naštěstí nic takového nepoužívám... ale je dobré to vědět. ;-) Nemáš třeba další podobné články?

To suchy : psal si, že si to už zmiňoval na jiném fóru, nemohl bys mi zaslat odkz na to fórum?

par fajn clankov je aj na stoyan.cz

spominane forum je http://pcforum.sk no najdes to tam roztrusene po celom fore. avsak zopar celkom dobrych clankov najdes napriklad tu http://blog.synopsi.com/category/bezpecnost pripadne skus pozret sem http://blackhole.sk.

V angličtine, ale možno pomôže:

Mám ještě Session Stealing - http://security-portal.cz/clanky/advanced-session-stealing-cast-1.html a SQL Injection - http://security-portal.cz/clanky/sql-injection-v-praxi.html, doporučuju si projít ten web :-) jsou tam poučně články.

Ještě bych doplnil Javascript Injection http://www.soom.cz/index.php?name=articles/show&aid=305

Právě vytvářím seriál na toto téma, tak si počkejte ;)

To survik1 : okay, čekám a už se moc těším na ten seriál ;-)

Bezpečnost není jenom o "defenzivních" programovacích techniká, ale také byste měli myslet na svá data. Představte si situaci, kdy je vaše aplikace nedostupná a vy nemůžete svým zákazníkům poskytovat služby - přicházíte o možný zisk a ještě je poškozena vaše obchodní značka... kdo svěří peníze nebo důvěrné informace někomu, kdo není schopen zajistit ani provoz svojí vlastní aplikace? Na webu se v tomto kontextu setkáte s pojmem DoS (denied of service) http://en.wikipedia.org/wiki/Denial-of-service_attack.

Jaká bude ztráta, pokud na datovém uložišti dojde ke zkratu a vy zjistíte, že celé vaše diskové pole se odebralo do "věčných lovišť"? A nevěřte tomu, že vás může zachránit RAID. Stejná situace nastane, pokud dojde z nějakého důvodu k poškození konzistence dat a vy nejste schopni data opravit. Za jak dlouho se podaři aplikaci znovu zprovoznit? Podle velikosti aplikace a důležitosti dat můžete využít třeba replikace. Minimálně byste však měli provádět zálohování. Zálohujete si své články na osobním blogu a co by se stalo, když by jste o ně přišli :-) v komerční sféře je újma daleko vyšší!

Spravujete-li data, která může třetí strana využít ke svému obohacení (ať pro obchod nebo cokoliv dalšího), je nutné mít přehled, kdo k datům přistupuje. Nikdy nevíte koho by mohly zajímat výpisy z účtu nebo seznam volaných telefonních čísel :-) když má seznam přivilegovaných několik stovek uživatelů, bez auditování přístupu se neobejdete.

A co zabezpečení přímo datového přenosu? Nikdy si nemůžete být jisti, kdo na síti poslouchá :-) nabídka je opravdu široká od SSL až po použití certifikátů a "handshake" ověření (vzájemné ověření mezi klientem a serverem) http://download.oracle.com/docs/cd/B32110_01/core.1013/b32196/ssl_intro.htm#BHCEACDD.