Securitatea scripturilor PHP partea 4

In decembrie zoso a scris despre calitatea unei aplicatii web realizata de openmind pentru blueair.

Pe 14 decembrie am avut o discutie cu un om din openmind ca sa incerc sa le raportez un nou bug intr-un site facut tot de ei. Sa spunem ca discutia nu a avut un ton tocmai amical. Am fost acuzat ca voi posta discutia pe blog etc etc etc. Dupa cum i-am promis o sa postez o singura linie din discutie:

(17:47:43) Eu: Nu. O sa fie o singura linie din discutia asta: “OpenMind: rautatea nu are limite asa ca astept sa vad copy paste in blogul tau aceasta discutie”

Dar sa revenim la detalii tehnice fara alte comentarii:

Site-ul la care ma refer este ( sau mai bine zis a fost. momentan este down ) : www.anfp.ro .

Probleme cu site-ul :

  • file inclusion
  • information disclosure
  • sql inclusion
  • client browser denial of service

openmind1openmind 2

Recomandari generale :

  1. Nu puneti online site-uri neauditate din punct de vedere security. Este mult mai ieftin si mai sigur ( cel putin cind ne referim la imaginea unei firme pe web ) ca site-ul sau sa fie auditat inainte de a fi pus online. Tineti minte… Oricum va fi “auditat” mai devreme sau mai tirziu.
  2. Tineti sistemele si aplicatiile updatate.
  3. Inainte de a lucra cu o firma cautati pe net ( use google Luke ) o a treia parere.
  4. Implementati o politica de backup si disaster recovery.
  5. Daca nu va este clar INTREBATI.

3 thoughts on “Securitatea scripturilor PHP partea 4

  1. Cop le ai perfect cu securizarea fisierelor php bravo 😉 …poti sa ma ajuti si pe mine cu cateva tutoriale despre securitatea fisierelor php ? sau dak poti sa vorbim pe yahoo messenger id`u meu ii splo1t

  2. Pentru tutoriale despre securitatea php trebuie consultat domnul google. Despre anumite aspecte mai interesante ale securitatii php poate voi vorbi in alte posturi. Daca cineva se asteapta la tutoriale de genul “how to hack” poate sa astepte mult si bine.

    Comentariul postat cu adresa de mail admin AT slashdot.org a fost cenzurat. Recomand autorului sa citeasca “Utilizare blog” inainte de a posta.

    Client browser dos se poate obtine foarte simplu cu un fisier php care se autoinclude la infinit.

Comments are closed.