UserX Δημοσ. 29 Σεπτεμβρίου 2005 Δημοσ. 29 Σεπτεμβρίου 2005 Παιδιά καλησπέρα. Είμαι στα σκαριά ενός δυναμικού web site με χρήση ASP & SQL Server. Στο web site θα υπάρχουν εγγεγραμένοι χρήστες με συνδρομή, και φυσικά στη βάση δεδομένων θα διατηρώ προσωπικά δεδομένα και κωδικούς. Θα το στήσω σε δικό μου server στη sparknet, σε windows 2003. Έπειδή υπολογίζω σε μεγάλο όγκο χρηστών και λόγω του ότι θα διατηρώ στη βάση προσωπικά δεδομένα, έχω ψάξει πολύ το θέμα security, και έχω ασφαλήσει το site πολύ προσεκτικά (RC4, MD5 encryption, SSL, HTML Guardian κτλ...) . Το θέμα είναι ότι δεν ξέρω ακόμη αν είναι αρκετά secure πρίν συνεχίσω. Αυτό που ψάχνω είναι κάποιοι τρόποι να δοκιμάσω την ασφάλεια του. Το ιδανικό για εμένα ΄΄ηταν να βρ'ω κάποιο άτομο που να γνωρίζει (hacker, cracker) αρκετά και να είναι σε θέση να δοκιμάσει όλων των ειδών τις επιθέσεις στο server, για να δώ αν μπάζει από πουθενά. Ακούω τις προτάσεις σας.... Ευχαριστώ.
platongr Δημοσ. 29 Σεπτεμβρίου 2005 Δημοσ. 29 Σεπτεμβρίου 2005 Κάνε το ίδιο setup σε έναν άλλο server αν υπάρχει η δυνατότητα και δώσε το όνομα στις διάφορες κοινότητες για να το δοκιμάσουν...
Guerriero4 Δημοσ. 29 Σεπτεμβρίου 2005 Δημοσ. 29 Σεπτεμβρίου 2005 nomizw ot ito html guardian "spaei eukola", alla ap'oti blepw exeis oxurothei kala! An katafereis kai breis ena hacker ( i na breis kanena group pou na endiaferetai )tote tha eisai ligo poio sigouros.
Hik Δημοσ. 30 Σεπτεμβρίου 2005 Δημοσ. 30 Σεπτεμβρίου 2005 HTML Guardian; Από τι ακριβώς θα σε προστατέψει αυτό; Θα έχεις ακούσει πιστεύω ότι η τεχνική security through obscurity δεν είναι λύση (άσε που το συγκεκριμένο δεν προσφέρει ούτε καν obscurity)... Ένα μόνιμο πρόβλημα που έχουν όλες οι web εφαρμογές είναι το ελιπές φιλτράρισμα των δεδομένων (code,sql injection exploits κτλ). Επίσης το session hijacking μπορεί να γίνει πρόβλημα. Ένα σωστό φιλτράρισμα των δεδομένων, με το κατάλληλο σύστημα ελέγχου πάντα ότι η φόρμα που στέλνει ο χρήστης όντως είναι από τη σελίδα σου, και μια σωστή χρήση των sessions/cookies (π.χ. δημιουργία ξεχωριστού μοναδικού id κάθε χρήστη με συνδυασμό session id + ip + browser + secret key) μπορεί να σε γλυτώσει από αρκετά. Επίσης πολύτιμο είναι το καλό logging όλων των ενεργειών των χρηστών (όπου επιτρέπει έλεγχο για τυχόν παρατυπίες καθώς και για προσπάθειες brute force εισόδων) καθώς και ίσως και κάποιο session timeout μετά από μεγάλο idle. Περιττό να αναφερθώ σε κρυπτογράφηση των password κτλ (καλύτερα πάντα one way) υποθέτω ότι τα έχεις κάνει. Βεβαίως η ασφάλεια είναι πάντα σχετική... Το ότι έχεις βάλει πολλές δικλείδες ασφαλείας στη σελίδα δεν σημαίνει ότι π.χ. κάποιος δεν μπορεί να βρει κάποιο exploit στο sql server. Έχω δει σε σελίδες να έχουν εφαρμόσει κάποια βασικά θέματα ασφαλείας και να έχουν βάλει τα στοιχεία σύνδεσης για την sql σε αρχείο db.inc μέσα σε public κατάλογο!
UserX Δημοσ. 30 Σεπτεμβρίου 2005 Μέλος Δημοσ. 30 Σεπτεμβρίου 2005 file hik apo oti blepo to katexeis to antikeimeno! Mpravo! Osa les ta exo kanei. Kai ta sessions exo prosexei (unique session id gia kathe xristi, gia na kratao plirofories tou), kai kriptografisi dedomenon me password to opoio tha allazei kathe mera kai brisketai apothikevmeno kapou sti registry tou server. Episeis kodikopoiimeno sti registry tou server brisketai kai to connection string me ton SQL Server. Ola ta queries einai apothikevmena ston SQL server me ti morfi storing procedures oste na min fainonta mesa stis asp selides. To sessionID exei fisika time out. Filtrarisma iparxei sta pedia gia xaraktires '," ktl, kai iparxei kai logging olon ton energeion kai ena log eidika gia to login tou xristi, to opoio krataei kai tin ip tou. Ta password einai stin basi me diplo algorithmo kodikopoiisis. Ola ta ids pou pernane apo selida se selida, einai kai afta kodikopoiimena, kai oles oi eggrafes pou dimiouirgountai ston SQL Server, pernoun 10psifio random id oste na min mporei o allos na "mantepsei" tin epomeni i tin proigoumeni eggrafi. Telos ola ta arxeia pou exoun tous algorithmous kriptografisis, tis plirofories gia to site, ti sindesi me ton SQL server, ta registry paths einai se folder exo apo to wwwroot. Oso gia to HTML Guardian, den eixera oti einai toso evaloto! Tote na min to agoraso! Afta ola ta exo kanei. Mipos mou xefevgei kati??? To problima mou einai oti exo para polles selides (9 modules ta opoia doulevoun san aftonomes efarmoges) kai alles toses formes. Opote oi pithanotites na mou exei xefygei kapou,kati afxanontai!
Hik Δημοσ. 30 Σεπτεμβρίου 2005 Δημοσ. 30 Σεπτεμβρίου 2005 Osa les ta exo kanei. Kai ta sessions exo prosexei (unique session id gia kathe xristi' date=' gia na kratao plirofories tou), [/quote'] Για τα sessions εννοώ να μπορείς να πιστοποίησεις ότι οποιοσδήποτε χρήστης παρουσιάσει ένα session id ότι όντως του ανήκει το συγκεκριμένο. Δεν ξέρω η asp πως ακριβώς διαχειρίζεται τα sessions και αν έχει κάποιο μηχανισμό δημιουργίας session id με κάποια προσωπικά και σταθερά στοιχεία ανά χρήστη (π.χ. ip). Αν δεν έχει θα πρέπει να εφαρμόσεις έναν εσύ. Και η ip δεν αρκεί, γιατί μπορεί να βρίσκεται πίσω από nat, χρειάζεται οποιοδήποτε άλλο στοιχείο μπορεί να χαρακτηρίσει ένα χρήστη. kai kriptografisi dedomenon me password to opoio tha allazei kathe mera kai brisketai apothikevmeno kapou sti registry tou server. Δεν ξέρω τι ακριβώς δεδομένα θα κρατάς στην σελίδα σου. Αλλά γενικά δεν χρειάζεται κρυπτογράφηση όλων των δεδομένων' date=' μόνο των σημαντικών. Αλλιώς δημιουργείς άσκοπο load στο server. Για password εισόδου η καλύτερη λύση είναι one way hash md5. Ola ta queries einai apothikevmena ston SQL server me ti morfi storing procedures oste na min fainonta mesa stis asp selides. Μου φαίνεται ότι ακολουθείς πάλι τη λογική security through obscurity που είναι λάθος. Σκοπός δεν είναι να μην μπορεί να δει ο χρήστης τα queries (άλλωστε δεν μπορεί αφού η asp εκτελείται). Σκοπός είναι ότι ακόμα και το source του κώδικα να έχει μπροστά του να μην μπορεί να κάνει τίποτα. Αντίστοιχα σε όλους τους αλγόριθμους κρυπτογράφησης ξέρουμε ακριβώς πως παράγονται, και τον κώδικα, αλλά αυτό δεν μας δίνει κάποιο βοηθητικό στοιχείο για να σπάσουν. To sessionID exei fisika time out. Να κάνει timeout εννοώ μετά από κάποιο μικρό idle time (π.χ. στα 3 λεπτά). Βέβαια εκεί πρέπει να εφαρμόσεις και κάποιο σύστημα' date=' π.χ. με javascript, ώστε να ρωτάς τον χρήστη αν είναι active για να μην βρίσκεται logout κάθε τόσο. Με αυτό το σύστημα μπορείς να κάνεις log και πότε ακριβώς ο χρήστης έκανε logout και γιατί (κανονικό logout ή inactive). Filtrarisma iparxei sta pedia gia xaraktires '," ktl, Το σωστό φιλτράρισμα προϋποθέτει ακόμα ποιο αυστηρούς κανόνες. Π.χ. σε ένα πεδίο ονόματος ξέρεις ότι δεν μπορούνε να υπάρχουν νούμερα ή περίεργοι χαρακτήρες (%$#!@* κτλ). Επίσης ακόμα και σε select να ελέγχεις ακριβώς ότι η τιμή που διάλεξε ο χρήστης είναι αυτή που θες. Μην υποθέτεις ότι επειδή το select είναι στατικό δεν μπορεί να το αλλάξει κάποιος. Εδώ ακριβώς κολλάει αυτό που είπα πριν ότι πρέπει να επιβεβαιώνεις ότι η φόρμα που στάλθηκε είναι αυτή που είχες καθορίσει εσύ και όχι η αλλαγμένη από το χρήστη (π.χ. μέσω τυχαίων παραγόμενων tokens) Ola ta ids pou pernane apo selida se selida' date=' einai kai afta kodikopoiimena, kai oles oi eggrafes pou dimiouirgountai ston SQL Server, pernoun 10psifio random id oste na min mporei o allos na "mantepsei" tin epomeni i tin proigoumeni eggrafi. [/quote'] Πάλι εδω κολλάει αυτό που είπα περί obscurity. Το θέμα είναι ακριβώς ότι και να ξέρει το επόμενο id, να μη μπορεί να κάνει τίποτα. Oso gia to HTML Guardian' date=' den eixera oti einai toso evaloto! Tote na min to agoraso! [/quote'] Με ένα απλό search στο google http://marc.theaimsgroup.com/?l=bugtraq&m=104828977921390&w=2 Ναι χρησιμοποιεί μια παραλλαγή του αλγόριθμου του Καίσαρα, δύσκολο στην επίλυση... Afta ola ta exo kanei. Mipos mou xefevgei kati??? To problima mou einai oti exo para polles selides (9 modules ta opoia doulevoun san aftonomes efarmoges) kai alles toses formes. Opote oi pithanotites na mou exei xefygei kapou' date='kati afxanontai![/quote'] Αυτό δυστυχώς είναι μέσα στο πρόγραμμα. Τι να πει και η microsoft
mjmj Δημοσ. 30 Σεπτεμβρίου 2005 Δημοσ. 30 Σεπτεμβρίου 2005 Αληθευει οτι με την προσθηκη μιας search engine σε ενα site, το site ειναι πιο ευκολο να το χακεψουν? Καποιος μου το ειχε πει αλλα δεν ξερω αν ισχυει.
Hik Δημοσ. 3 Οκτωβρίου 2005 Δημοσ. 3 Οκτωβρίου 2005 Όχι δεν ισχύει, αν ο δημιουργός του έχει πάρει τα κατάλληλα μέτρα.
-htf-viper151 Δημοσ. 3 Οκτωβρίου 2005 Δημοσ. 3 Οκτωβρίου 2005 oxi den isxyei giati h search engine apla pernei ekswterika dedomena kai ta metaferei pros ta mes apo mia mono search engine..o allos tha prepei na hackepsei tin se gia na se hackepsei kai esena
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.