Siguria tek faqet shqiptare ne rrjet - Zeri.tech

×
Albanian Forums, Zerion Zeri yt Zeri Info, Forumi Shqiptar Al Virtual, Diskutime, Biseda, Chat Njofje, Informatika, Teknologjia, Gazeta Tema, Gazetat Shqiptare, Bota Sot, www Channel Albania, Telegrafi Kosovo, Ballkani Web, Gazeta Lajme shqip, Lajmet e Fundit Shqiperia Kosova, Dita, Panorama, Kryeartikull, Faqja Kryesore, Video Shqip, Muzike Shqipe, Njoftime, Lajmerime, Temat Online, Gazetat, Kosovare, Shtypi Ditor, Sporti Shqiptar, Dashuria, Pyetje Pergjigje, Keshilla, Ndihme, Webmaster Shqiptar, Familja, Shqiptaria, Muzika, Receta Gatimi, Imazhe, Vipat-shqiptar, Aktualiteti
Media Sociale
Mesazhe Private
Shqiptaret duke lexuar tema interesante dhe te ndryshme
Tema re

Siguria tek faqet shqiptare ne rrjet

Siguria tek faqet shqiptare ne rrjet

· 5 · 2755

  • Postime: 28193
  • Karma: +48/-5
  • Gjinia: Mashkull

ne: 29-08-2008, 10:14:00
Shkrimi i meposhtem eshte postuar nga Mandi i Albforumi.com me pare, por e gjej me vlere qe ta lexojne sa me shume webmastera sepse ia vlen vertete.

******

Siguria tek faqet shqiptare ne rrjet


Duke u nis nga nje postim i KHG me poshte dhe duke u nisur nga nje forum ku pashe qe nja 40 faqe shqiptare jane hackuar keto dy dite, po mendoj te shkruaj nja dy shenime per sigurine. (Per me teper qe dhe ne e kemi pesuar, dhe eksperienca fitohet nga historite e hidhura).

Po te shohim faqet qe e kane pesuar keto dy dite, do shihet qe shumica jane Programim ne PHP e ndonje me e rralle ne ASP.
lista permban faqet qe gjenden ne kete link: http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,United%20Jugoslavia%20Crew/

Problemet jane ne 100% te ketyre rasteve ne SQL Injection.
SQL Injection per ata qe nuk e kane hashur eshte vendosja e argumentave SQL ne variablat Input te perdoruesve.
Te gjitha faqet dinamike, marrin nepermjet formave (POST) apo nepermjet URLve (GET) variabla qe i kalojne nje sintakse SQL per t'u ekzektuar nga Sistemi i Manaxhimit te Databazes (DBMS).
Rastet me te pakujdesshme jane kalimi i variablave nga metoda GET. Po te verehet ne menune adresa te browserit, do shihni dicka si:
http://www.albforumi.com/ubb/ubbthreads.php?ubb=newpost&Board=12

Praktikisht ne kete cast forumit i kalohen dy variabla,
Variabli 'ubb' me vleren 'newpost' dhe variabli 'Board' me vleren '12'. Nese variablat nuk kontrollohen, nje person me disa njohuri nga SQL Injection, mund te shtonte nje sintakse te tipit:
/?Board=-1+union+all+select+1,2,convert(concat_ws(emri,fjalekalimi)+using+utf8),4,5+from+administratoret--
qe ne castin e afishimit te rrezultatit te mesiperm do shfaqte dhe fjalekalimin nga tabela administratoret e DB.
Personi duhet te dije pak a shume dhe strukturen e tabelave te sistemit.

Per te mos u zgjatur, eshte thene e rithene disa here qe cdo variable qe vjen publik duhet filtruar ne menyra te ndryshme.
Sugjerime:
1. Perdorimi i DB me te pakten 2 nivele perdoruesish. Scriptet publike te kene nje UserDB qe ka vetem te drejta leximi. Scripti i Administrimit te ruhet mire ne accesim dhe te perdor nje tjeter perdorues DB qe ka dhe te drejta shkrimi.

2. Te perdoren funksionet e PHP per pastrimin e sintakses se padeshiruar. (Metoda me e vjeter).
funksioni PHP quotemeta:
Pastron nga karakteret: . \ + * ? [ ^ ] ( $ )
Funksioni PHP addslashes -
Pastron : thonjeza teke ('), thonjeza dyshe ("), backslash (\) dhe vlera NUL.
Funksioni PHP htmlspecialchars (perdoret per te shmangur XSS) -
Konverton
'&' (ampersand) ne'&'
'"' (double quote) ne'"' kur ENT_NOQUOTES nuk eshte percaktuar.
''' (single quote) ne''' kur ENT_NOQUOTES nuk eshte percaktuar.
'<' (less than) ne'<'
'>' (greater than) ne'>'
FUnksioni PHP strip_tags:
pastron karakteret e HTML <>.

Funksionet me siper mund te perdoren te kombinuar per te shmangur problemet e leximit te variablave (P.S Nuk po permend magic_quotes_gpc pasi nuk eshte e sugjeruar dhe nuk do jete me pjese e PHP pas PHP6).

3.Te perdoren filtrat e PHP http://us.php.net/manual/en/intro.filter.php ose Filtrat e Zend_Framework. (klasa Zend_Filter)
Nje shembull nga ZF eshte si me poshte:

Citim
// Provides filter chaining capability
require_once 'Zend/Filter.php';

// Filters needed for the example
require_once 'Zend/Filter/Alpha.php';
require_once 'Zend/Filter/StringToLower.php';

// Create a filter chain and add filters to the chain
$filterChain = new Zend_Filter();
$filterChain->addFilter(new Zend_Filter_Alpha())
->addFilter(new Zend_Filter_StringT oLower());

// Filter the username
$username = $filterChain->filter($_POST['username']);

4. Ndoshta dhe menyra me e thjeshte, por cuditerisht me pak e perdorur, perdorimi i funksionit te PHP mysql_real_escape_s tring.

5.Funksioni mysql_error() perdoret vetem gjate fazes se zhvillimit dhe nuk duhet lene ne faqet qe jane aktive ne internet. (po ashtu dhe direktiva display_errors duhet te jete off ne Php.ini apo ne konfigurimin specifik te nje domaini {.htaccess, apo vhost.conf}

Kjo eshte pak a shume per SQL Injection, ndoshta pas komenteve te personave te tjere qe kane eksperience ne kete fushe do e publikojme me vone.

Shume e rendesishme, nese keni access ne php.ini te serverit, gjithmone allow_url_fopen = off per te qene te sigurte (Keshille e Kelit kur patem njehere probleme me AF)

Jam i sigurte qe sikur ti kishim patur ne mendje keto gjera ne castin e zhvillimit te siteve me siper, nuk do kishim gazetare qe fryjne keto gjera dhe shpikin dhe karikojne luftera virtuale-banale shqiptare-serbe.

http://www.albforumi.com/ubb/ubbthreads.php/ubb/showflat/Number/998925/Main/18357/#Post998925

  • Postime: 28193
  • Karma: +48/-5
  • Gjinia: Mashkull

#1 ne: 06-09-2008, 00:54:17
Nese shikohet lista me faqet e hack-uara vihet re se shume prej tyre jane faqe zyrtare. Me kete vihet re se sa pune e dobet behet nga ata qe marrin persiper te ndertojne faqe shteterore. Dmth pune shkel e shko dhe ja ku perfundojne pastaj.
Gjithashtu me bejne pershtypje se si shume prej atyre faqeve private qendrojne tashme prej javesh keshtu dhe ata qe i kane nuk marrin aspak masa. Si eshte e mundur qe ndertojne faqe dhe nuk marrin mundimin t'i vizitojne punet e tyre per jave e jave te tera.

  • Postime: 3783
  • Karma: +16/-2
  • Gjinia: Mashkull

#2 ne: 08-09-2008, 10:47:35
Si është e mundur qe ndertojne faqe dhe nuk marrin mundimin t'i vizitojne punët e tyre për jave e jave te tera.

Po ata e kanë mbaruar porosine, çfarë te vizitojne akoma? Nëse marrin njoftim nga pronaret e faqes, atëherë po.

Qe na sjell te kjo: ose atyre institucioneve nuk u bëhet vonë, ose nuk e marrin vesh çfarë është bërë, ose janë sorollatur qe te gjejne dike ta rregulloje (nëse s'kanë staf IT), ose presin te marrin miratim nga ministri etj. për te vënë ne pune leket e buxhetit te shtetit, ose janë perpjekur ta kontaktojne por nuk e kanë kapur dot autorin/en e faqes apo ai/ajo s'u ka kthyer përgjigje.

Pastaj, M A X, ti e di shumë mirë se webdesigner dhe webmaster janë profile të ndryshme, si ne funksione ashtu edhe ne perkatesi kohore. ;) Gjithashtu, siç e permendi edhe Mandi i AF, plot faqe "pushtohen" me sukses ne saje te vrimave te sigurise ne server, jo medoemos gabimeve ne vete faqe.

  • Postime: 28193
  • Karma: +48/-5
  • Gjinia: Mashkull

#3 ne: 08-09-2008, 14:37:39
E kisha fjalen per faqet private kur thashe si nuk i shohin nje here punet e tyre. Per ato te shtetit e kam te qarte se si mund te funksionojne gjerat.

  • Postime: 53
  • Karma: +0/-0
  • Gjinia: Mashkull

#4 ne: 02-10-2008, 01:55:15
Faqet zyrtare te Shqiperise lene teper te te deshiruar si nga siguria dhe nga paraqitja! por dhe ato te gjysem ekspertave qe jane verdall!

Temat e fundit