/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Sikkerhed
Fra : Lars Olesen


Dato : 05-04-04 13:27

Jeg har netop læst to fremragende artikler om sikkerhed og php:

<http://solidox.org/index.php?w=module:article,action:view,id:11>
<http://www.sklar.com/page/article/owasp-top-ten>

Derefter har jeg lavet nogle enkelte tilrettelser i et system, jeg har
lavet, der kan findes her:

<http://www.retlet.dk>

Hvor kildekoden kan ses her:

<http://www.legestue.net/websites/admin/showsystem.php>

Men hvordan finder jeg ud af, om jeg har lavet systemet, så man
umiddelbart ikke kan lave mysql-injection og andet smuds?

Mangler jeg noget for at sikkerheden bliver bedre?

Et tillægsspørgsmål: Jeg har et felt i mit system, hvor jeg man gerne må
indtaste et javascript, men man må ikke indtaste et farligt script, så
man kan lave et xss-hack. Kan man sikre sig mod det, eller skal man helt
forbyde scripts?

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

 
 
Jacob Atzen (05-04-2004)
Kommentar
Fra : Jacob Atzen


Dato : 05-04-04 18:32

Lars Olesen <lsolesen@hotmail.com> writes:

> Jeg har netop læst to fremragende artikler om sikkerhed og php:

David Wheeler har skrevet en bog om sikker programmering. Den
indeholder bl.a. et afsnit om PHP. Kan læses online her:

<http://www.dwheeler.com/secure-programs/>

> Men hvordan finder jeg ud af, om jeg har lavet systemet, så man
> umiddelbart ikke kan lave mysql-injection og andet smuds?

Du kan jo prøve om du kan lave SQL-injections selv.

> Mangler jeg noget for at sikkerheden bliver bedre?

Ja

--
Med venlig hilsen
- Jacob Atzen

Lars Olesen (05-04-2004)
Kommentar
Fra : Lars Olesen


Dato : 05-04-04 20:21

Jacob Atzen wrote:

> David Wheeler har skrevet en bog om sikker programmering. Den
> indeholder bl.a. et afsnit om PHP. Kan læses online her:
>
> <http://www.dwheeler.com/secure-programs/>

Den er super, og jeg læser på livet løs :D

> Du kan jo prøve om du kan lave SQL-injections selv.

Mit problem er nok, at jeg ikke helt ved, hvad det er :) Jeg kan ikke
logge ind i systemet med de metoder, der skitseres, men de resterende
angreb jeg jo gerne vil undgå, kender jeg ikke, og kan derfor ikke
udføre dem. Blot forsøge at følge råd, så jeg undgår dem.

>>Mangler jeg noget for at sikkerheden bliver bedre?
>
> Ja

Hehe, ja naturligvis. Fiskede lidt efter, om der var nogle gevaldige og
meget synlige huller :D


--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

Jacob Atzen (06-04-2004)
Kommentar
Fra : Jacob Atzen


Dato : 06-04-04 16:06

Lars Olesen <lsolesen@hotmail.com> writes:

> Mit problem er nok, at jeg ikke helt ved, hvad det er :) Jeg kan
> ikke logge ind i systemet med de metoder, der skitseres, men de
> resterende angreb jeg jo gerne vil undgå, kender jeg ikke, og kan
> derfor ikke udføre dem. Blot forsøge at følge råd, så jeg undgår
> dem.

Er vel ikke så meget andet at gøre, end at prøve at følge med i, hvad
der bliver fundet af huller i andre PHP applikationer og så se om din
egen er sårbar overfor det samme. Du kan f.eks. søge inspiration på
Bugtraq.

--
Med venlig hilsen
- Jacob Atzen

Lars Olesen (06-04-2004)
Kommentar
Fra : Lars Olesen


Dato : 06-04-04 16:16

Jacob Atzen wrote:

> Er vel ikke så meget andet at gøre, end at prøve at følge med i, hvad
> der bliver fundet af huller i andre PHP applikationer og så se om din
> egen er sårbar overfor det samme. Du kan f.eks. søge inspiration på
> Bugtraq.

Næ, det er der ikke :) Så må vi bare håbe, at jeg ikke er sårbar over
for de allermest almindelige :)


--
Lars Olesen
Kan det gøres bedre? Struktur, navigation og brugervenlighed!
Betingelser findes på <http://www.fodboldenslegestue.dk>
Forslag afleveres inden 1. juli 2004

Lars Olesen (06-04-2004)
Kommentar
Fra : Lars Olesen


Dato : 06-04-04 16:49

Jeg præciserer lige spørgsmålet lidt efter at være blevet klogere :)

## SESSIONS
Hvis man fx i et login-script sætter en $_SESSION['UserId'], så tænker
den uerfarne sikkerhedsmand (mig), at vi er homesafe, hvis så man på de
følgende sider tjekker om brugeren har adgang til at være der. Efter at
have læst lidt mere, ser det ud til at en snedig hacker kan modificere
$_SESSION['UserId'].

Men hvad kan man så gøre, for at gøre det mere sikkert?

- Skal man fx sende password med og så tjekke login på alle siderne?
- Eller skal vi skrive brugeren op i en jeg_er_nu_logget_ind-tabel med
vedkommendes særegne session_id();?
- Hvad er det smarteste?

## tilgå filer
Bør man øverst i alle sine filer (fx klasser), som ikke må tilgås
direkte have et tjek i toppen, eller er det ligegyldigt?

--
Lars Olesen
Kan det gøres bedre? Struktur, navigation og brugervenlighed!
Betingelser findes på <http://www.fodboldenslegestue.dk>
Forslag afleveres inden 1. juli 2004

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408930
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste