Bezpieczeństwo przede wszystkim... seria artykułów o zabezpieczaniu w PHP...

Witam serdecznie.

Każdy z nas ma jakieś braki w tym co robi. Nawet najlepsi nie wiedzą wszystkiego. Ty, ja, Twój znajomy, mój znajomy - możliwe, że każdy z nas programuje, tworzy strony internetowe. Na pewno z nikt nas nie potrafi wszystkiego w tym co robi. Nie mniej jednak z racji tego, że czegoś zdążyłem się już nauczyć dla osób które dopiero zaczynają postanowiłem rozpocząć serię artykułów o bezpieczeństwie skryptów pisanych w PHP. Seria ta będzie dotyczyła zabezpieczania od strony serwera, parsowania oraz spraw ataków na strony internetowe.

Nie potraktujcie tego wpisu jako czystą reklamę. Nie przeczę, że w pewnym sensie chce zaprosić nowe osoby do odwiedzania i komentowania tego co próbuję przekazać. Przede wszystkim jednak chciałbym podzielić się cząstką tego co wiem, tego co praktykuje w przystępny sposób z innymi.

Nie mam jeszcze przygotowanego pełnego spisu artykułów i zagadnień które będę poruszał. Nie mniej mogę podać wstępną listę, która oczywiście rozszerzy się i może się zmienić.

• Jak zabezpieczyć skrypt PHP/MySQL? Część 1: luka Arbitrary File Download (AFD) (odnośnik do artykułu)
• Cross-Site Scripting
• SQL Injection
• Jak zabezpieczyć skrypt PHP/MySQL? Część 2: luki Local File Include (LFI) i Remote File Include (RFI) (odnośnik do artykułu)
• Shell Injection
• HTTP Response Splitting
• Cross-Site Request Forgery
• Session fixation

Zapraszam serdecznie do czytania, pytania i komentowania na moim blogu. Wszelkie reakcje tego typu pozwolą mi na udoskonalenie kolejnych wpisów i większą pomoc Wam, uczącym się PHP.

Pozwolicie też Wy - użytkownicy i administracja, że w tym temacie będę zamieszczał informacje o kolejnych częściach... kursu? Powinno się to przydać użytkownikom.

Pozdrawiam,
m1chu (http://m1chu.eu)

Użytkownik Kai edytował ten post 20 10 2008 - 18:14

• Temat: Jak zabezpieczyć skrypt PHP/MySQL? Część 1: luka Arbitrary File Download (AFD)
• Część: 1
• Opis: "Postanowiłem podejść do sprawy zabezpieczeń w wielu wpisach. Pisanie o bezpieczeństwie w jednym byłoby długie i cholernie monotonne. Zaczniemy więc tym razem niestandardowo, bo od ataku typu Arbitrary File Download (szczerze większej publikacji o tym nie znalazłem) - z reguły rzadszym, ale bardzo niebezpiecznym, a to wszystko jak sama nazwa mówi z powodu możliwości ściągnięcia dowolnego pliku na serwerze na którym wykonywany jest odpowiedni plik php. [...]"
• Data wpisu: 11 wrzesień 2008
• Adres: odnośnik do wpisu

Pozdrawiam i życzę przyjemnego czytania,
m1chu

Użytkownik Kai edytował ten post 27 11 2008 - 16:38

• Temat: Jak zabezpieczyć skrypt PHP/MySQL? Część 2: luki Local File Include (LFI) i Remote File Include (RFI)
• Część: 2
• Opis: "Praktycznie każdy dynamicznie generowany system oparty o rozwiązania dostępne w celu tworzenia aplikacji internetowych działa na zestawie katalogów, a skrupulatniej pisząc także podkatalogów. Operowanie na nich, np. w celu wczytania danego języka czy plików szablonów poprzez użycie danych pochodzących od użytkownika może być przyczyną niemałego problemu. Local File Include, Remote File Include, czy Directory Traversal to fachowe nazwy błędów na które przez niedostateczne zabezpieczenie skryptu możemy być narażeni. [...]"
• Data wpisu: 19 październik 2008
• Artykuł: odnośnik do wpisu

Użytkownik Kai edytował ten post 27 11 2008 - 16:38