Blog o razvoju softvera OUTDATED
Ovo je četvrti u seriji članaka o sigurnosti PHP aplikacija. Pogledajte Sigurnost PHP aplikacija, Osnove sigurnosti, Validacija i filtriranje inputa i XSS
Dok XSS predstavlja indirektan napad na korisnike, SQL Injection predstavlja direktan napad na PHP aplikaciju, odnosno na bazu podataka. Cilj ovog napada je da se izmeni određeni SQL upit kako bi se izršile razne akcije, od dobijanja aletrantivnih podataka, do izmene ili brisanja podataka iz baze podataka. Continue reading
Ovo je četvrti u seriji članaka o sigurnosti PHP aplikacija. Pogledajte Sigurnost PHP aplikacija, Osnove sigurnosti i Validacija i filtriranje inputa
XSS je tip sigurnosnih propusta koji je karakterističan za web aplikacije koji omogućava napadaču da ubaci kôd koji se izvršava na klijentskoj strani (JavaScript, ActiveX, HTML) u našu web stranicu. Cilj ovakvog napada je dobijanje osetljivih podataka kao što su korisničke sesije (cookie), odvođenje na drugu stranicu ili bilo koji drugi cilj koji se može postići izvršenjem koda na korisničkoj strani.
XSS-u su najčešće podložne web aplikacije koje ispisuju korisnički sadržaj – na primer: forumi, knjige gostiju, komentari članova i druge.
Napad na mrežu kompanije Google, Adobe i još 30+ drugih firmi izveli su verovatno kineski (a ko bi drugi) hakeri. Iskorišćen je sigurnosni propust u Internet Exploreru 6, ali takav propust se može naći i u ostalim verzijama ovog browser-a.
Propust u IE omogućavao je napadaču da kompletno upravlja žrtvinim računarom, a exploit, sa imenom “Aurora” je već javno dostupan. Continue reading
Ovo je treći u seriji članaka o sigurnosti PHP aplikacija. Pogledajte Sigurnost PHP aplikacija i Osnove sigurnosti (Sigurnost PHP aplikacija – 2.deo)
Trebamo imati u vidu da su svi inputi stringovi (tekstualne vrednost), tako da i ako su one prikazane kao brojne vrednosti oni su i dalje samo stringovi. PHP ima tu mogućnost da radi sa različitim tipovima podataka i da ih menja dinamično, u hodu. Pa tako ako deklarišemo stringovnu promenjivu koja sadrži vrednost “23″, nju možemo sabrati sa bilo kojim brojem.
Ovo je drugi u seriji članaka o sigurnosti PHP aplikacija. Pogledajte Sigurnost PHP aplikacija
Svaka web aplikacije je napisana u cilju da izvrši zahteve korisnika. Ti zahtevi mogu biti “prikaži mi stranicu” ili “pošalji napisani mail” ili “uloguj me”, odnosno sve komande i podaci koje korisnik šalje aplikaciji. Interpretiranje tih komandi i podataka je osnovna delatnost aplikacije, a baš u toj interpretaciji leže najveći sigurnosni rizici. Continue reading
Ovo je prvi u budućoj seriji članaka o sigurnosti PHP aplikacija. Očekuje vas uvod u osnove, filtriranje inputa, eskejpovanje outputa, sigurnost baze podataka i još dosta zanimljivosti.
Jedna od duhovitih činjenica o PHP-u je da su njegove funkcije pisane pod raznim okolnostima, ponekad i u alkoholisanom stanju. Uzevši i u obzir da je softver otvorenog koda, oni trezni mogu pronaći greške i kritikovati kako je PHP pun sigurnostnih propusta. To je donekle i tačno, ali takav sistem omogućava rešavanje tih propusta i sa svakom novom verzijom platforma postaje sve sigurnija. Međutim, najčešći krivci za sigurnosne propuste nije PHP platforma, već isključivo programeri aplikacija.
Lakoća programskog jezika, mogućnost da se neki proces odradi na mnogo načina ili vremensko ograničenje mogu biti uzroci takvih grešaka, ali za sigurnost svakako treba odvojiti vremena i steći dobre navike. Ne biste valjda rizikovali da vaša baza podataka bude ukradena, vaši korisnici izloženi riziku ili da ceo vaš online biznis propadne preko noći zbog jedne linije u kodu? Continue reading