Difese dall'hacking più comune(PROPOSTA)

Difese dall'hacking più comune(PROPOSTA) postato il 13/12/2008 16:23:54 nel forum programmazione, gdrcd, open source, hosting e modificato da toth il 14/12/2008 09:07:32

Allora come da titolo propongo di creare, in questo forum, un elenco dei più comuni metodi di hacking e rispettive contromisure per aiutare i gestori meno esperti (Tra i quali mi ci inseirsco anche io) a creare siti difesi almeno dalle più basilari tecniche di hacking senza dover chiedere ognuno per il proprio sito ma vedendo semplicemente lo schemetto riassuntivo che gli darà dritte a sufficienza per evitare le suddette tecniche maliziose.

Esempio di cosa pensavo:

SQL Injection: tecnica che permette al malintenzionato di forzare il database attraverso inserimento di stringhe malevole da campi di input.

Contromisura:Uno dei fattori chiave che determinano la vulnerabilità di un sistema agli attacchi sql injection è la qualità del codice in esecuzione nel sistema. La presenza di bug può fare ben altro che semplicemente causare la generazione di eccezioni. E' molto semplice evitare attacchi sql Injection occorre infatti solo un po' di attenzione da parte dello sviluppatore in tutte le implementazioni di codice che acquisiscono dati dall'esterno quei dati che possono essere manipolati dagli utenti.

Occorre filtrare prima di passare i dati al database i caratteri

; -- + ' ( ) = > < @

Per una maggiore protezione è opportuno filtrare anche alcune parole riservate di sql

SELECT, INSERT, CREATE, DELETE, FROM, WHERE, OR, AND, LIKE, EXEC, SP_, XP_, SQL, ROWSET, OPEN, BEGIN, END, DECLARE

Oltre a questa ovvia protezione, occorre:

* tenere sempre aggiornato il proprio DBMS
* tenersi sempre informati sulle nuove tecniche per essere preparati ad affrontare tutti i nuovi attacchi,
* configurare il proprio sistema dando i giusti privilegi
* utilizzare mysql_real_escape_string (o mysqli_real_escape_string se usate mysqli) per filtrare gli input degli utenti e poter utilizzare i caratteri speciali del MySql
(by rd_webmaster&raz)

___________________________________________________

Spoofing / Redirector: questo attacco può dare seguito a tanti altri attacchi, ma diciamo che lo si può chiamare, genericamente, un "Redirector" o "Spoofing" od entrambi.

Infatti viene alterata l'identità (e quindi la fiducia) che esiste tra il mio browser ed il contenuto che deve caricare (le immagini solitamente vengono bloccate, ma gli script si [tant'è che la maggior parte di questi redirect sono fatti sfruttando JavaScript e non il vecchio tag <META http-equiv="Refresh">]) creando un attacco di tipo "Spoofing" e, dopo questo attacco, si viene reindirizzati ad una pagina che non abbiamo esplicatamente richiesto (noi esseri umani; il computer è stupido e lo esegue comunque); ecco qui anche l'attacco "Redirector".

Contromisura: ????

___________________________________________________

Che ne pensate? Io purtroppo dal basso della mia esperienza ristretta non ho molte conoscenze al riguardo, però se ognuno postasse un metodo che conosce e rispettiva contromisura da lui adottata si potrebbe arrivare a stilare una guida perlomeno quasi completa.

P.s. Se iniziate a postare qualcosa aggiorno il mio primo post mano mano per dare una visione d'insieme.

Terra di Ambar

http://www.terradiambar.com ↗

quota

Pagine → 1 2

xenom

SCRIVI

13/12/2008 17:09:05

Non ho la minima idea di come si chiami: fare bene attenzione quando sul sito vengono stampate immagini che gli utenti possono inserire. Un utente malevolo potrebbe inserire come immagine un suo script php che potrebbe rimandare gli utenti a pagine malevole.

Enlisted ↗
Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!

quota

toth

SCRIVI

13/12/2008 23:29:05

Aggiornato il primo post con la spiegazione di rd_webmaster sulle Injection e relativi suggerimeti, inserito l'attacco Spoofing/Redirector, grato se qualcuno ne scrive una contromisura :D

Terra di Ambar

http://www.terradiambar.com ↗

quota

mandras

SCRIVI

13/12/2008 23:33:02

inoltre togliere le variabili If nel codice

War Thunder ↗
Aviazione, veicoli corazzati e flotte militari della seconda guerra mondiale. Parteciperai a tutte le principali battaglie!

quota

toth

SCRIVI

14/12/2008 09:27:48

Quindi goph si potrebbe fare un array di estensioni di immagini e controllare che le ultime 3 lettere dell'url corrispondano ad una di quelle immagini, o no?

(chiedo per poter stilare una contromisura chiara e completa :P)

Un mio amico piuttosto preparato nel campo mi ha detto che contro script inseriti nelle immagini esistono alcuni script java che analizzano le stesse, però sinceramente non so se è vero. Qualcuno di voi ne è a conoscenza?

Terra di Ambar

http://www.terradiambar.com ↗

quota

cicciokr

SCRIVI

14/12/2008 11:23:30

allora si analizza che nel link non ci siano ? .. opoyre avete qualche idea?

E´ proprio quando un popolo è all´apice del successo, che ha inizio il suo declino..

quota

rhllor

SCRIVI

15/12/2008 11:40:17

goph ha scritto: Riguardo la contromisura non bisognerebbe usare gli array, ma proprio le regular expression: con le regular expression puoi fare dei controlli precisi sulla validazione..ad esempio:

(https?://)((www)?.[a-z0-9]+.[a-z]{2,4})

potrebbe essere una semplice regular expression (scritta al volo..perdonate gli errori anche grossolani :P) per validare un URL.

Per maggiori info sulle regular expression che, tipicamente, risolvono la maggior parte di validazione dell'input vi consiglio questo
http://www.regular-expressions.info/reference.html ↗

P.S.: Il forum toglie alcuni backslash utili per fare l'escaping di alcuni simboli come il forwardslash in https?:// ed i due punti subito dopo (www)? e dopo [a-z0-9]+
P.P.S.: Corretto un errorino che ho notato :D

Ottimo questo, me lo segno fra i preferiti =P

You ask for pity? You demand mercy? I have only Justice.
Incoming...

quota

reb-varah

SCRIVI

16/12/2008 12:27:37

detta da profana e per stemperare gli spiriti in occasione delle feste.....

dunque perchè non..................

Fare trovare qualcosa in caso di intrusione che SEMBRI un database ed invece è tutta un'altra cosa? magari con una bella pernacchia finale come file audio?

:-)

tra poco.. tutto nuovo per USS TYCO.... nuovo nome, nuova filosofia, nuova veste... ma prima s´ha da terminare il DB FEDERALE.... senza quello non disegno più un pixel ! 😝

quota

blancks

SCRIVI

16/12/2008 17:46:29

(http://php.html.it/articoli/leggi/851/espressioni-regolari/) http://php.html.it/articoli/leggi/851/espressioni-regolari/ ↗

Mi sembra un ottimo articolo questo ;-)

GitHub: https://github.com/GDRCD/GDRCD ↗
Discord: https://discord.gg/zh69CDUf3V ↗

quota

blancks

SCRIVI

22/12/2008 17:25:52 e modificato da blancks il 22/12/2008 17:27:54

Non credo di andare fuori topic se introduco il frutto dei miei studi svolti sulle regular expressions dopo che questo post è stato aperto.

Ho creato una regex per la validazione di un url con la quale si consente agli utenti di caricare una img in tutta sicurezza per il sito.

Avendo letto nelle risposte precedenti che eventuali controlli potevano essere "aggirati" scrivendo cose del tipo http://miosito.it/attacco.php?=immagne.jpg ho specificato nel controllo di non dare per buona la validazione nel caso in cui trovi caratteri come ? o = nella seconda parte dell'url (dopo il .it insomma), aggiungendo anche il controllo dell'estensione immagine.

Tuttavia non conoscendo bene le tecniche di evasione o aggiramento di questi controlli volevo chiedere se quello che mi è venuto fuori..

(https?://([-\w\.]+)+(/([\w/_\.]*(jpg|png|gif))))

..poteva essere aggirato in qualche maniera.

GitHub: https://github.com/GDRCD/GDRCD ↗
Discord: https://discord.gg/zh69CDUf3V ↗

quota

blancks

SCRIVI

24/12/2008 12:47:30 e modificato da blancks il 24/12/2008 12:49:27

Grazie dei consigli ;)

ps: il \w equivale a [a-z A-Z 0-9 _]

GitHub: https://github.com/GDRCD/GDRCD ↗
Discord: https://discord.gg/zh69CDUf3V ↗

quota

Discussione seguita da › toth › blancks › gemini

Pagine → 1 2