Ã‘ÂÃ‘Â‚ÃÂ¾ÃÂ¼ - Xakep Online

More documents

Recommendations

Info

34 ÃËÎÁÀËÜÍÀß ÝÏÈÄÅÌÈß ÑÏÅÖ 02-07âàêöèíà äëÿ ñàéòàÑîçäàíèå ìíîãîóðîâíåâîé çàùèòû îò âçëîìàâåá-ïðèëîæåíèé«ÌÎÉ ÑÀÉÒ — ÌÎß ÊÐÅÏÎÑÒÜ» — ÒÀÊÈÌ ÄÎËÆÅÍ ÁÛÒÜ ÄÅÂÈÇ ÂÑÅÕ ÂÅÁ-ÐÀÇÐÀÁÎÒ×ÈÊÎÂ. Â ÝÒÎÉ ÑÒÀÒÜÅ ß ÐÀÑÑÊÀÆÓ, ÊÀÊ ÊÀÌÅÍÜ ÇÀ ÊÀÌÍÅÌ È ÊÈÐÏÈ× ÇÀÊÈÐÏÈ×ÎÌ ÏÎÑÒÐÎÈÒÜ ÒÀÊÓÞ ÊÐÅÏÎÑÒÜ. ÌÛ ÍÀ×ÍÅÌ Ñ ÇÀÙÈÒÛ ÍÀ ÑÒÎÐÎÍÅ ÊËÈÅÍÒÀÈ ÇÀÊÎÍ×ÈÌ ÎÁÎÐÎÍÎÉ ÑÅÐÂÅÐÍÎÉ ×ÀÑÒÈ.Áîðèñ Âîëüôñîíborisvolfson@gmail.com http://splendot.comòðè êðóãà îáîðîíû íà ñòîðîíå êëèåíòà. Íà÷íåìñ ñàìîãî ïðîñòîãî — ñ îòïóãèâàíèÿ «þíûõ õàêåðîâ»;). Èòàê, ìàëîëåòíåå ñîçäàíèå îòêðûëî áðàóçåð,çàøëî íà òâîé ñàéò, íàøëî ôîðìó è ïûòàåòñÿñâîèìè êîâàðíûìè ðó÷êàìè ââåñòè òóäà ÷òî-íèáóäüíåõîðîøåå. Ïðåæäå âñåãî, âîñïîëüçóåìñÿ âîçìîæíîñòÿìèÿçûêà HTML. Äëÿ íà÷àëà âûáåðåì ïîäõîäÿùèéýëåìåíò óïðàâëåíèÿ, íàïðèìåð, åñëè íàäîâûáðàòü «ìåñòî æèòåëüñòâà», òî áåçîïàñíåé áóäåòèñïîëüçîâàòü âûïàäàþùèé ñïèñîê (à íå ñòðîêó ââîäà).×òî êàñàåòñÿ ïîñëåäíåé, òî æåëàòåëüíî âûáðàòüè ìàêñèìàëüíóþ äëèíó äëÿ ñòðîêè ââîäà.Âòîðîé êðóã îáîðîíû áóäåò ðàáîòàòü íà JavaScript,êîòîðûé ïîìîæåò íàì ïîäâåðãíóòü ñòðîãîìóàóäèòó âñå, ÷òî ïîëüçîâàòåëþ âçäóìàåòñÿ ââåñòèâ íàøè ôîðìû. Ìû ìîæåì, íàïðèìåð, óáåäèòüñÿ,÷òî ââåäåí äåéñòâèòåëüíî e-mail, à íå SQL-çàïðîñ,êîòîðûé âûäàñò çëîóìûøëåííèêó ïàðîëèâñåõ ïîëüçîâàòåëåé.Òðåòèé è ñàìûé ïîñëåäíèé êðóã èñïîâåäóåòèäåîëîãèþ AJAX, ïîýòîìó íå ÿâëÿåòñÿ ÷èñòî êëèåíòñêèì.Ïîñëå çàïîëíåíèÿ î÷åðåäíîãî ïîëÿ ìû ñäåëàåìçàïðîñ íà ñåðâåð î ïðàâèëüíîñòè ââåäåííûõ äàííûõ.Ðàññìîòðèì ïëþñû è ìèíóñû äàííîãî ïîäõîäà.Îí, áåçóñëîâíî, îòïóãíåò âçëîìùèêîâ-äèëåòàíòîâ,êîòîðûå íå óìåþò ïîëüçîâàòüñÿ íè÷åì êðîìåáðàóçåðà. Îòìå÷ó òàêæå åùå îäèí ïðèÿòíûé ýôôåêò— óëó÷øåíèå þçàáèëèòè ñàéòà, âåäü ïðè íåïðàâèëüíîìçàïîëíåíèè ôîðìû ïîëüçîâàòåëü åùåäî åå îòïðàâêè ïîëó÷èò ñîîòâåòñòâóþùåå ñîîáùåíèå.Ìèíóñ ó çàùèòû íà ñòîðîíå êëèåíòà òîëüêîîäèí — îáîéòè åå ïðîùå ïàðåíîé ðåïû, òàê ÷òî ñîõðàíÿåìñòðàíèöó ó ñåáÿ íà ñåðâåðå è îòêëþ÷àåì âáðàóçåðå JavaScript. À åùå ëó÷øå — ðàáîòàåì íå÷åðåç áðàóçåð, à ñ ïîìîùüþ ñêðèïòà. Òàê ÷òî çàùèòóíà ñòîðîíå êëèåíòà ìîæíî ñ÷èòàòü ðâîì âîêðóãíàøåé êðåïîñòè. À ïîñêîëüêó ðîâ — ýòî ñàìîå-ñàìîåíà÷àëî, òî ïðèñòóïèì ê âîçâåäåíèþ ñòåí =).çàùèùàåìñÿ íà ñåðâåðå. Ñðàçó îãîâîðþñü,êàêèå àñïåêòû ÿ îñâåùó â ñëåäóþùåé ÷àñòè ñòàòüè.Çäåñü òû íå óñëûøèøü íè î òîíêèõ íàñòðîéêàõ áåçîïàñíîñòèâ Ëèíóêñ, íè î òîì, êàê ïðàâèëüíî ñîáðàòüçàùèùåííûé àïà÷ è êàêèå ìîäóëè ê íåìó ïðèêðóòèòü.Íå áóäåò ïðîèçíåñåíî íè ñëîâà î íàñòðîéêàõPHP (ëþáèìûå ìîè magic quotes). Îñòàâèì ýòèäåëà ñèñàäìèíàì, — îíè íå çðÿ ñâîé õëåá åäÿò, àÏÐÎÑÒÀÂÜ ÎÏÖÈÈ DISPLAY_ERRORS = OFF È LOG_ERRORS = ONÄËß ÎÒÊËÞ×ÅÍÈß ÏÎÊÀÇÀ ÎØÈÁÎÊ È ÄËß ÂÊËÞ×ÅÍÈßÈÕ ÆÓÐÍÀËÈÐÎÂÀÍÈßñàìè çàéìåìñÿ ïðîãðàììèðîâàíèåì. Áðîñèì áåãëûéâçãëÿä íà ñõåìó, ïî êîòîðîé íàì ïðåäñòîèò ðàáîòàòüäàëüøå (ñìîòðè ñõåìó 1).ïðîâåðêà âõîäíûõ äàííûõ. Äëÿ íà÷àëà îïðåäåëèì,îòêóäà íàø ñêðèïò ìîæåò ïîëó÷àòü ïîòåíöèàëüíîîïàñíóþ èíôîðìàöèþ. Ïåðâîå, ÷òî ïðèõîäèòíà óì — ýòî ôîðìû, êîòîðûå çàïîëíÿåò ïîëüçîâàòåëü.Äàííûå èç íèõ ìîãóò ïåðåäàâàòüñÿ äâóìÿìåòîäàìè. Ïðè èñïîëüçîâàíèè ìåòîäà POST äàííûåïîñòóïàþò ñêðèïòó íà ñòàíäàðòíûé âõîä, à åñëèïðèìåíÿåòñÿ ìåòîä GET, òî èíôîðìàöèÿ ïåðåäàåòñÿâ àäðåñíîé ñòðîêå:URLhttp://www.example.ru/index.php?variable=valueÒû ëþáèøü ïå÷åíüå? Íåò? À âîò âçëîìùèêè ëþáÿò,âåäü ÷àñòü èíôîðìàöèè ïåðåäàåòñÿ èìåííî ÷åðåçêóêè. Îáû÷íî ýòî èäåíòèôèêàòîð ñåññèè è äðóãàÿèíôîðìàöèÿ, êîòîðàÿ ñîõðàíÿåòñÿ âî âðåìÿ ñåðôèíãàþçåðà ïî ñàéòó. Äëÿ ñêðèïòà, íàïèñàííîãî íàPHP, âñå âûøåîïèñàííûå ìåòîäû ïîëó÷åíèÿ âíåøíåéèíôîðìàöèè ïðàêòè÷åñêè ðàâíîçíà÷íû, ïîýòîìóòû ìîæåøü èñïîëüçîâàòü ìàññèâ $_REQUEST(ïðàâäà, ýòî íå î÷åíü áåçîïàñíîå ðåøåíèå).Âðîäå áû âñå, íî íåò! Ïîäóìàé, îòêóäà åùåñêðèïò ïîëó÷àåò äàííûå? Êîíå÷íî, èç ÁÄ (èëè èçðåäêèõ íûí÷å òåêñòîâûõ ôàéëîâ)! Âîçíèêàåò çàêî-
35íîìåðíûé âîïðîñ: «À ïî÷åìó ìû íå ìîæåì äîâåðÿòüèíôîðìàöèè, ïîëó÷åííîé èç áàçû äàííûõ?».Åñòü äâà èñòî÷íèêà óãðîçû. Âî-ïåðâûõ, âçëîìùèêìîã ïîëó÷èòü äîñòóï ê áàçå äàííûõ è çàíåñòè òóäàïðîèçâîëüíóþ èíôîðìàöèþ, íàïðèìåð, ñ ïîìîùüþSQL-èíúåêöèè. Âî-âòîðûõ, åñòü òàêàÿ íåõîðîøàÿâåùü, êàê XSS — ìåæñàéòîâûé ñêðèïòèíã. Âäàííîì ñëó÷àå, çëîóìûøëåííèê ìîã ïîëîæèòü âáàçó äàííûõ èíôîðìàöèþ, èñïîëüçóÿ íàøè æåñêðèïòû. Íàïðèìåð, îí ìîæåò íàïèñàòü â ãîñòåâîéêíèãå è â êîììåíòàðèè íåñëîæíûé JavaScript, êîòîðûéïåðåäàñò åìó êóêè âñåõ ïîëüçîâàòåëåé, åãîïðî÷èòàâøèõ. Ïîýòîìó ôèëüòðû ïðîâåðêè íàäî íàêëàäûâàòüíà äàííûå è ïðè èõ ïîñòóïëåíèè îòïîëüçîâàòåëÿ, è ïðè âûäà÷å ýòèõ äàííûõ ñàìîìóïîëüçîâàòåëþ.òèïû ïðîâåðîê. Îòêóäà ìîãóò ïîñòóïèòü âðåäîíîñíûåñòðî÷êè, ìû ñ òîáîé âûÿñíèëè, òåïåðüðàññìîòðèì, ÷òî â íèõ ìîæåò áûòü çëîãî è êàê ñ ýòèìáîðîòüñÿ. Íà÷íåì ñ ñàìîãî ïðîñòîãî — îãðàíè-÷èì äëèíó ââîäèìûõ ïîëüçîâàòåëåì äàííûõ. Òàêàÿáàíàëüíàÿ ïðîâåðêà ìîæåò ïîíàäîáèòüñÿ äëÿðàáîòû ñ áàçàìè äàííûõ. Òàêæå ñëåäóåò ïðîâåðèòüâñå ïîëÿ äëÿ ââåäåíèÿ ýòèõ äàííûõ, åñëè çàðàíååèçâåñòåí èõ òèï (â ÷àñòíîñòè, íà âõîäå ìûìîæåì ïîëó÷èòü ÷èñëî èëè äàòó è îñóùåñòâèòüíåîáõîäèìóþ ïðîâåðêó). Â PHP ìîæíî èñïîëüçîâàòüôóíêöèþ is_numeric äëÿ ïðîâåðêè «íà ÷èñëî»,ïðàâäà, ñ îñòîðîæíîñòüþ — â ðàçíûõ âåðñèÿõ ðåçóëüòàòûåå ðàáîòû áóäóò íåìíîãî îòëè÷àòüñÿ.Â îáùåì ñëó÷àå óäîáíî èñïîëüçîâàòü ðåãóëÿðíûåÂÊËÞ×È ÎÏÖÈÞ MAGIC_QUOTES_GPC ÄËß ÀÂÒÎÌÀÒÈ×ÅÑÊÎÃÎÝÊÐÀÍÈÐÎÂÀÍÈß ÂÑÅÕ ÂÕÎÄßÙÈÕ ÄÀÍÍÛÕâûðàæåíèÿ, êîòîðûå óäà÷íî ðåàëèçîâàíû âî ìíîãèõÿçûêàõ èëè áèáëèîòåêàõ. Äëÿ ïðîâåðêè íà êîððåêòíîñòüàäðåñà ýëåêòðîííîé ïî÷òû ìîæíî èñïîëüçîâàòüòàêîé regexp:PHPeregi("^[A-Z0-9._%-]+@[A-Z0-9._%-]+\.[A-Z]{2,6}$", $email)×òî êàñàåòñÿ ïðîâåðêè âõîäíûõ äàííûõ íà ïðèíàäëåæíîñòüê ìèðó ÷èñåë, òî ðåãóëÿðíûå âûðàæåíèÿìîãóò ïîìî÷ü è çäåñü. Äàâàé, êñòàòè, íåìíîãîóñëîæíèì çàäà÷ó: âõîäíîé ïàðàìåòð äîëæåí áûòüöåëûì ÷èñëîì áåç çíàêà. Äëÿ ýòîãî ñíà÷àëà óáåðåìïðîáåëüíûå ñèìâîëû â íà÷àëå è â êîíöå ñòðîêè,à çàòåì ïðîâåðèì ñòðîêó ðåãóëÿðíûì âûðàæåíèåì.PHPfunction is_unsigned_integer($val){$val=str_replace(" ","",trim($val));return eregi("^([0-9])+$",$val);}Ðåãóëÿðíîå âûðàæåíèå «^([0-9])+$» (áåç êàâû÷åê)îçíà÷àåò, ÷òî ñòðîêà äîëæíà ñîäåðæàòü òîëüêî öèôðûè èõ êîëè÷åñòâî äîëæíî áûòü íå ìåíüøå îäíîé.Àíàëîãè÷íûå ðåãóëÿðíûå âûðàæåíèÿ íåîáõîäèìîèñïîëüçîâàòü è äëÿ îñòàëüíûõ äàííûõ.Ëè÷íî ÿ ëþáëþ èñïîëüçîâàòü êëàññ Validateèç áèáëèîòåêè PEAR, êîòîðûé ïîçâîëÿåò ïðîâîäèòüäîñòàòî÷íî ñëîæíûå ïðîâåðêè â îäíó ñòðî÷êó:PHP$validate = &new Validate();$validate->string( $username,array('format'=>VALIDATE_ALPHA .VALIDATE_NUM . VALIDATE_SPACE ) )$validate->email( $email )$validate->number( $age,array( 'min'=>0, 'max'=>100 ) )Ìåòîäû êëàññà Validate âîçâðàùàþò false, åñëè ïðîâåðêàíå ïðîéäåíà. Ñíà÷àëà ìû ïðîâåðÿåì èìÿïîëüçîâàòåëÿ: îíî äîëæíî ñîñòîÿòü òîëüêî èç áóêâ,öèôð è ïðîáåëîâ. Çàòåì ìû ïîâåðÿåì àäðåñ ýëåêòðîííîéïî÷òû, è, íàêîíåö, óáåæäàåìñÿ, ÷òî âîçðàñòïîëüçîâàòåëÿ — ýòî ÷èñëî â äèàïàçîíå îò 0 äî 100.ÊóêèÎøèáêè ââîäàËîãèGETPOSTÏðîâåðêàâõîäíûõ äàííûõÍåíàéäåííûå ñòðàíèöûÄëèíà âõîäàÁÄSQL-èíúåêöèÿÕåø îò ïàðîëåéÁåçîïàñíîñòüHTMLÀâòîãåíåðàöèÿ ïàðîëåéÒèïû ïðîâåðêèXSSÓñòîé÷èâûå ïàðîëèÎïàñíûå äåéñòâèÿñ ïàðîëåìÏîëüçîâàòåëèÒèï ïàðàìåòðàÔèëüòðàöèÿñïåöñèìâîëîâÏðèâÿçêà IPê ñåññèèÏðîâåðêà ðåôåðîâÔèëüòðàöèÿ ÍÅÕÑõåìà 1. Çàùèòà íà ñòîðîíå ñåðâåðà
Page 1: 02(75)ÔÅÂÐÀËÜ 2007ÅÆÅÌÅ
Page 4 and 5: ÅÆÅÌÅÑß×ÍÛÉÒÅÌÀÒÈ
Page 6 and 7: timeline2000{çàðîæäåíèå}
Page 8: 06 /37 ÃËÎÁÀËÜÍÀß ÝÏÈ
Page 11 and 12: 9æåò âûïîëíÿòü íåñê
Page 13 and 14: 11ñåðâåðå åñòü òàáë
Page 15 and 16: 13Ïîïðîáóåì âñàäèòü
Page 17 and 18: ÝÍÖÈÊËÎÏÅÄÈßGamePostÎ
Page 19 and 20: 17ÝÊÑÏËÎÉÒÀ ÏÎÄ ÊÀÊ
Page 21 and 22: 19çíà÷åíèå èìååò $var1
Page 23 and 24: VERSUS4,3 KENTSFIELD SLINVIDIA Ge
Page 25 and 26: 23ïðèòîíûèíòåðíåòà
Page 27 and 28: 255 /5BugTraq.Ruwww.bugtraq.ru3,5 /
Page 29 and 30: 27Òàáëèöà 1Òàáëèöà 2
Page 31 and 32: 29abstract class Decorator extends
Page 33 and 34: 31PHPÑîçäàâ òàêîé ôàé
Page 38 and 39: 36 ÃËÎÁÀËÜÍÀß ÝÏÈÄÅ
Page 40: 38 /67 ÎØÈÁÊÈÌÎËÎÄÎÑÒ
Page 43 and 44: 41ÁÛÒÜ ÎÁÐÀÙÅÍÈß Ê Ô
Page 45 and 46: 1 ÌÅÑÒÎ 2 ÌÅÑÒÎ 3 ÌÅÑ
Page 47 and 48: 45ïðîèçâîäèì ïðîâåð
Page 49 and 50: 47CyD NET Utilswww.cydsoft.comshare
Page 52 and 53: 50 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ
Page 54 and 55: 52 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ
Page 56: 54 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ
Page 59 and 60: 57Q: Êàê îò SQL injection è X
Page 61 and 62: æå ëþäÿì, ïðîñòî îð
Page 63 and 64: http://www.gameland.ru/ Dark Fall:
Page 65 and 66: 63Íó è, íàêîíåö, Perl î
Page 67 and 68: 65Íåñêîëüêî ñëîâ î Ne
Page 69 and 70: 67http://dm9.ru/cgi-bin/perltest/sc
Page 71 and 72: 69î ïîäëîãå. Îïÿòü æ
Page 73 and 74: 71ñåíêó ïîä íîìåðîì
Page 75 and 76: 73ÊÀÊÈÅ ÑÏÎÑÎÁÛ ÁÎÐ
Page 77: {IT}Ñ ÌÀÐÒÀÂÑÅ ÁÓÄÅÒ
Page 82 and 83: 80 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07È
Page 84 and 85: 82 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07Ï
Page 86 and 87:
84 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07è
Page 88 and 89:
86 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07ì
Page 90 and 91:
88 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07ã
Page 92:
90 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07Ò
Page 95 and 96:
93DEEPNESS IN THE SKYby MFXAETHERby
Page 97 and 98:
îáùåíèÿ äèñêóññèè.
Page 99 and 100:
Vista Manager 1.0.3winxp-manager.co
Page 101 and 102:
MSI MEGABOOKS430($1199) 6 áàëë
Page 103 and 104:
MSI MEGABOOKS430($1199) 6 áàëë
Page 105 and 106:
2Àíäðåé Êàðàìíîââå
Page 107 and 108:
105 |ìÿ îíëàéí, æäåò â
Page 109 and 110:
Ðûêîâ áûë óâåðåí: î
Page 111 and 112:
ìîæíîãî çàêëàäûâàí
Page 113 and 114:
Õâàëþ. Íàì áû ñ âàìè
Page 115:
Думаешь, что посмот
show all

Ã‘ÂÃ‘Â‚ÃÂ¾ÃÂ¼ - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

Ã‘ÂÃ‘Â‚ÃÂ¾ÃÂ¼ - Xakep Online