ФорумПрограммированиеPHP для идиотов → Уязвимости и mysql инъекции

Уязвимости и mysql инъекции

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 10 апреля 2009 г. 12:48, спустя 12 дней 23 часа 10 минут

    Разовью тему до  высот "Дом флудера".


    Как защититься от подбора паролей?

    По IP 10 попыток давать?
    Вести журнал и блокировать IP?
    Ну предложите чего нибудь =)
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 10 апреля 2009 г. 12:59, спустя 11 минут 32 секунды

    Professor, от подброра к чему именно? Веб-форме, ssh, telnet, mysql… etc
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 10 апреля 2009 г. 13:02, спустя 2 минуты 43 секунды

    От подбора к авторизации на сайте.
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 10 апреля 2009 г. 13:37, спустя 34 минуты 47 секунд

    Professor, используй логи веб-сервера, если больше определенного кол-ва запросов с одного IP, то добавляй его в бан-лист. И добавь в файрволл правило - запрещающее списку в бан-листе заходить на сайт.
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 10 апреля 2009 г. 13:41, спустя 3 минуты 56 секунд

    Хотя тоже самое можешь сделать и на PHP, просто собирай статистику авторизаций и добавляй в свой бан-лист.

    Еще вариант - проверяй js и куки - защитит от ботов.
    Еще вариант - проверяй по IP и внеси свой ип или сабнет свой в белый лист…
    Еще вариант - проверяй UserAgent и добавь туда свою строку, типа
    FireFox *.** (Professor version)
    и проверяй на сайте.
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 10 апреля 2009 г. 13:41, спустя 30 секунд

    ну с логами сложно добиться нужного результата помоему.
    Мож я в логах не разбераюсь =)

    там опасано какой был произведен запрос, когда и кем.
    А результата там же нету.
    Вдруг у меня человек будет заходить, выходить 10раз каждые 2 минуты? По логам его забанить нужно =)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 10 апреля 2009 г. 13:44, спустя 2 минуты 39 секунд

    Еще вариант - проверяй UserAgent и добавь туда свою строку, типа

    ну это только от подбора моего пароля защитит. А как с остальными? =) А вот первые 2 варианта это да,
    Только вот как на JS проверить?
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 10 апреля 2009 г. 14:03, спустя 18 минут 38 секунд

    Professor,
    Вдруг у меня человек будет заходить, выходить 10раз каждые 2 минуты? По логам его забанить нужно =)

    10 раз это мало для бота… 10 раз в сек, это нормально! Хотя человек который 10 раз в минуту выходит - странный поменьшей мере…
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 10 апреля 2009 г. 14:05, спустя 2 минуты 33 секунды

    Только вот как на JS проверить?

    выполни скрипт… например который добавляет какой-то айди в скрытый инпут… или там сам выдумай, главное что-то сделать js-ом, чтобы потом сервер узнал.
    После чего проверяй на сервере
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 11 апреля 2009 г. 2:06, спустя 12 часов 1 минуту 14 секунд

    страшные разговоры какие то
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 11 апреля 2009 г. 7:15, спустя 5 часов 8 минут 25 секунд

    Чет не могу допедрить как на JS проверять =(

    Допустим такой вариант.

    Генерируем число, записываем его в сессию и создаем JS код типа

    w=<?echo $_SESSION['code]?>[/code]

    потом какому нить невидимому полю присваиваем значение переменной w.

    И все это элементарно обходится получением значения сессии и передачей ее напрямую.


    в базу данных код записывать тоже не вариант. ибо каждое открытие страницы это SQL запрос на создание записи.

    как же быть?
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 11 апреля 2009 г. 7:16, спустя 1 минуту 14 секунд

    Professor, ты прав. элементарно, но если бот не специально под твой сайт написан, то ничего он не сможет подделать, ибо жс боты не выполняют
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 11 апреля 2009 г. 7:20, спустя 3 минуты 35 секунд


    Professor, ты прав. элементарно, но если бот не специально под твой сайт написан, то ничего он не сможет подделать, ибо жс боты не выполняют


    Это понятно.
    Но есть большая вероятность что сайт начнут ломать =(
    и моя задача как можно надежней защитить ресурс, и на столько усложнит задачу взломщика, чтоб затраты на взлом были больше чем затраты на защиту и востановление информации =)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 11 апреля 2009 г. 7:21, спустя 1 минуту 15 секунд

    Мож капчу на регистрацию поставить? =)
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 11 апреля 2009 г. 7:22, спустя 1 минуту 18 секунд

    Professor, проверяй посты на наличие поля специфичного которе подсовываешь сам + ставь поля на жсе + можно картинками типа empty.php устанавливать кукисы какиенить хитрые + проверять referer'а + ставить капчу на каждую форму :-D
    Сапожник без сапог

Пожалуйста, авторизуйтесь, чтобы написать комментарий!