Безопасность сетей

mrPsyx · 22.10.2010

я где то читал что у сайтов vkontakte odnoklassniki mail,ru есть спецы по безопасности, так чем же они занимаются с технической стороны, например если у меня есть сайт знакомств (готов на 50%) то как его могут взломать если изначально все написано так чтоб нельзя было взламывать страницы пользователей?

tigra60 · 22.10.2010

спецы по безопасности, так чем же они занимаются с технической стороны

Сбором и анализом информации в интересах ФСБ.

medwoodu · 22.10.2010

mrPsyx сказал(а):
я где то читал что у сайтов vkontakte odnoklassniki mail,ru есть спецы по безопасности, так чем же они занимаются с технической стороны, например если у меня есть сайт знакомств (готов на 50%) то как его могут взломать если изначально все написано так чтоб нельзя было взламывать страницы пользователей?

спецы по безопасности и пентестеры это немного разные вещи. А вы уверены что изначально нельзя взломать? Или вы mysql_escape_string сделали и все довольны??

mrPsyx · 23.10.2010

ну а как взломает, если например куки не использываю, инфо из адресной строки проверяется, и т.д. ?

какими путями могут взломать вообще?

medwoodu · 23.10.2010

mrPsyx сказал(а):
ну а как взломает, если например куки не использываю, инфо из адресной строки проверяется, и т.д. ?

какими путями могут взломать вообще?

и вобще не подключены к интернету :biggrin: , если у вас сайт статичный -то нет проблем. а так есть разные обходы проверок, xss атаки, и еще много чего

а куки не используете- это типа у вас сессий нет??

mrPsyx · 27.10.2010

а как тогда защитится должным образом?

mrPsyx · 31.10.2010

kein · 31.10.2010

Читать материалы по взлому, использованию уязвимостей итд

mrPsyx · 04.11.2010

Код:

куки не используете- это типа у вас сессий нет??

почему нет, есть, а разве сессии не на сервере хранятся?

tigra60 · 05.11.2010

а разве сессии не на сервере хранятся?

Сессии, то на сервере, а доступ к ним - в куки. То есть, если кто-то честно авторизовался на сайте, злоумыщленник может влезть и слить информацию. Поэтому не нужно в сессии хранить уязвимые данные, типа паролей и пр.
Если пользователю, который даже уже авторизован, необходим доступ к какой-то серьезной информации, лучше еще раз спросить пароль.
И, естественно, каждый ввод пользователя перед обращением в БД нужно очень жестко рубать.

mrPsyx · 08.11.2010

вот я захотел проверить мой сайт на то как быстро будет загружаться в инете, дело в том что этот сайт мне оч дорог, безопасно ли проверить если он еще не закончен? я собираюсь после проверки удалить с хостинга, да только боюсь что при загрузке на сервер хостинг может теоретически сделать копию

mrPsyx · 09.11.2010

The Lone Gunmen · 20.12.2010

Могут взломать через скуль инжекшн.

mrPsyx · 23.12.2010

а что это такое?

tigra60 · 23.12.2010

MySQL инъекция

mrPsyx · 14.02.2011

а если использовать метод POST mysql инъекции возможны?

AngelGabriel · 14.02.2011

какая разница что пост что гет, конечно возможны, любые данные поступающие в базу могут содержать иньекцию, если конечно они перед этим должным образом не обработаны

mrPsyx · 15.02.2011

да на самом деле я ступил с вопросом...

mrPsyx · 13.03.2011

к стать вместо mysql_escape_string(); лучше использовать mysql_real_escape_string();

medwoodu · 14.03.2011

mrPsyx сказал(а):
к стать вместо mysql_escape_string(); лучше использовать mysql_real_escape_string();

лучше использовать PDO или http://ru.php.net/manual/en/class.mysqli-stmt.php

Безопасность сетей

Well-Known Member

Спасатель

Злобный модер

Well-Known Member

Злобный модер

Well-Known Member

Well-Known Member

Частный случай

Well-Known Member

Спасатель

Well-Known Member

Well-Known Member

New Member

Well-Known Member

Спасатель

Well-Known Member

И имя мне - легион

Well-Known Member

Well-Known Member

Злобный модер

Онлайн статистика

Статистика форума

Новые пользователи

Поделиться этой страницей