Autor Zpráva
stepanka
Profil *
Ahoj,

prosím, neznáte někdo nějaké dobré odkazy, texty, články, kde by byly popsány typy útoků na webové aplikace a taky hlavně, jak se proti konkrétním útokům bránit? Buď nějaké algoritmy, či funkce, které zabezpečují stránku proti tomu a tomu útoku.. A to hlavně v PHP.

Píšu o tom diplomku, hodně útoků už znám, ale pořád moc dobře nevím, jak se proti nim bránit. Strýček sice semtam něco poradí, ale přece jen není nad kvalitní a ověřené linky (rady) od zkušenějších uživatelů.

Děkuju moc
Radek9
Profil
Nejčastější jsou PHP injection, SQL injection, získání hesla k FTP nebo nezabezpečená administrace.
A chránit se můžeš jedině kontrolou a testováním ;-)
vynalezce
Profil
co takhle se zeptat googla
treba na
XSS
CSRF
MySQL injection
funkci eval v php a jeji vyuziti jako zadni vratka
osetreni uploadu
PHP include
google hacking
nutnost hashovani hesel v db


tady je par odkazu
http://megous.com/bezpecnost-webove-aplikace
http://www.soom.cz/index.php?name=articles/show&aid=485
http://www.soom.cz/index.php?name=articles/show&aid=484
http://www.soom.cz/index.php?name=articles/show&aid=167
Joker
Profil
Radek9:
A chránit se můžeš jedině kontrolou a testováním ;-)
Neřekl bych. Podle mě je nejdůležitější prevence: Vědět o různých způsobech napadení a při tvorbě stránek si osvojit "bezpečné" postupy.
stepanka
Profil *
Radek9
tak přesně tohle jsem slyšet nechtěla, ale díky :-)

vynalezce
jj, já jsem psala, že google občas něco poradí, ale ono taky všemu, co je na webu, asi není dobré věřit, tak jsem chtěla nějaké osvědčené texty, o které bych se mohla opřít.. Za ty linky děkuju, pokud nejsou první, co vyhdoil google :-)
habendorf
Profil
Ehm, píšu to nerad, ale ... kdo píše diplomku a tudíž asi studuje VŠ, měl by umět pracovat s informacemi - vyhledávat, analyzovat, zpracovat ...
Zvláště pokud jde o diplomku z oblasti IT ;o)
Mastodont
Profil
Nejen umět pracovat s informacemi, ale vůbec rozumět oboru a tématu, na které tu diplomku píše!!!!
stepanka
Profil *
habendorf, Mastodont

Teď jste mi to teda nandali :-) Sebevědomí mi kleslo o 90% :-) ... Myslím, že vyhledávat, analyzovat a zpracovávat informace umí každý, kdo má mozek, ale pokud se najdou nějací ochotnější znalci dobrých stránek, textů, knížek, atd.. tak mi to usnadní práci.. A já nic jiného nechci.
habendorf
Profil
stepanka:

Nebylo účelem ti nic nandat a napsal jsem doslova „píšu to nerad“.
stepanka
Profil *
Kašlete na to, já si nějak poradím. Admin může tohle téma smazat..

Moderátor Chamurappi: Žádost se zamítá.
armin
Profil
stepanka: Děkovat nemusíš...
http://scholar.google.com/scholar?q=bezpecnost+php+skriptu&hl=cs&btnG=Hledat

Akorát nezkoušej ve své práci ať už je jakákoliv vykopírovávat celé odstavce cizí práce. Adresu scholar.google.com po VŠ znají, a oponentovi stačí prdnout první 2-3 slova z jakéhokoliv tvého odstavce a "má tě". Ber to jako doporučení pro rozšíření tvých dosavadních informacií, nakolik podle toho cos psala to zatím vypadá tak, že v tom docela nepříjemně plaveš.
stepanka
Profil *
armin

Musím děkovat :-) Konečně mi někdo poradil zdroj, o kterém jsem nevěděla. Pár podobných diplomek jsem tam našla, tak na ně kouknu.

Kopírovat ani opisovat to v úmyslu nemám. Vím, že to nebude jednoduchá věc, ale to není žádná diplomka. Holt musím studovat a studovat. Tenhle obor mě ale zajímá a baví, a ráda se to učím. Už dva roky dělám v jedné firmě e-shopy, s PHP problém nemám, jen se potřebuju pořádně a detailně zaměřit na to zabezpečení. Případně se dá jít s diplomkou i v září, takže nějak to určitě půjde. Všechno jde, když se chce. A já chci.

Tak děkuju za tip.
Timy
Profil
stepanka
Kvalitním zdrojem je http://php.vrana.cz/, o většině bezpečnostních problémů tam myslím psal.
Bubák
Profil
Další, doposud nezmíněná "legrace" je clickjacking.
stepanka
Profil *
Timy, Bubák

děkuji moc.
tiso
Profil
http://www.phpguru.cz/
niečo je spomenuté i v seriály http://zdrojak.root.cz/serialy/zaciname-s-nette-framework/
stepanka
Profil *
tiso, taky Ti moc děkuju.
armin
Profil
stepanka: Hoď bulvu i sem:
http://phpsec.org/projects/guide/

Pokud neumíš po anglicky, tak si ten web nech přeložit přes http://translate.google.com
stepanka
Profil *
armin
Díky moc, už hážu :-)

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: