<rmcreative>

RSS

Все заметки с тегом «Безопасность»

Можно уточнить:

    (1)
  1. (1)
  2. (1)
  3. (1)
  4. (1)
    (1)
  1. (1)
  2. (2)
    (1)
    (1)
    (1)
    (1)
    (2)
  1. (1)
    (1)
  1. (1)
    (1)
    (1)
  1. (9)
    (2)
    (1)
  1. (1)
  2. (1)
  3. (1)
  4. (2)
  5. (1)
    (2)
    (1)
  1. (1)
    (1)
    (1)
  1. (1)
    (4)
  1. (1)
    (1)
    (1)
    (1)
    (1)
    (1)
    (3)

  1. Опасность слепой проверки заголовка X-Forwarded-For

    15 апреля 2012

    Сегодня пришёл pull-request в Yii на эту тему. В классе CHttpRequest есть метод getUserHostAddress, который отдаёт нам IP пользователя. Предложение было перед возвратом $_SERVER['REMOTE_ADDR'] проверить, а нет ли чего в $_SERVER['HTTP_X_FORWARDED_FOR'], и, если есть — вернуть. Мотивация — будут видны IP пользователей за прокси.

    Так как такое заблуждение встречается ну очень часто, я даже не сразу вспомнил, откуда берётся $_SERVER['HTTP_X_FORWARDED_FOR']. А берётся он из заголовка HTTP запроса X-Forwarded-For и означает это то, что придти нам может что угодно.

    А теперь представим, что разработчик воспользовался изменённым методом getUserHostAddress, проверяющим X-Forwarded-For:

    if(in_array(Yii::app()->request->getUserHostAddress(), $allowedAddresses))
{
  // даём доступ к админке
}

    Тем, кто пишет на Zend Framework, кстати, стоит проверить свой код потому как Zend_Controller_Request_Http::getClientIp() без переданного аргументом false как раз проверяет X-Forwarded-For:

    /**
  * Get the client's IP addres
  *
  * @param  boolean $checkProxy
  * @return string
  */
  public function getClientIp($checkProxy = true)
  {
    if ($checkProxy && $this->getServer('HTTP_CLIENT_IP') != null) {
      $ip = $this->getServer('HTTP_CLIENT_IP');
    } else if ($checkProxy && $this->getServer('HTTP_X_FORWARDED_FOR') != null) {
      $ip = $this->getServer('HTTP_X_FORWARDED_FOR');
    } else {
      $ip = $this->getServer('REMOTE_ADDR');
    }
    return $ip;
  }

    Заслал репорт в трекер Zend Framework на всякий случай.

    36 комментариев

  2. Современный брутфорс и безопасный логин

    2 октября 2011

    Оказывается, любой печатный восьмисимвольный пароль в домашних условиях ломается перебором всех комбинаций за три с половиной дня. Это при том, что хеширован он вполне современным sha256. Всего несколько лет назад на такой перебор могли уйти годы, а то и вся жизнь.

    Что же теперь делать?

    1. Можно и нужно сделать лимит на количество попыток ввода пароля. По достижении лимита можно, например, просить ввести капчу. Однако, если произойдёт «утечка» базы данных, что, конечно, бывает не так часто, но бывает, ограничение не поможет.
    2. Хорошим решением будет в дополнение сделать вычисление хеша более ресурсоёмкой операцией. Пользователь не заметит, а вот для взломщика перебор станет, если не невозможным, то, как минимум, финансово невыгодным. Реализуется, например, при помощи bcrypt. Выглядеть это может примерно как здесь.
    27 комментариев

  3. PHP, валидация и массивы

    2 ноября 2009

    Наверное, многие сталкивались с задачей ввода произвольного числа одноимённых полей через форму. В PHP это сделано довольно удобно: в форме к имени поля добавляется [] и на стороне сервера в $_POST, $_GET или $_REQUEST мы получаем уже массив.

    В любом коде необходимо проверять данные, пришедшие из форм и адресной строки. В любом хорошем коде они проверяются. Но вот про эту особенность с квадратными скобками очень часто забывают.

    http://example.com/list.php?q=test
http://example.com/list.php?q[]=test

    Довольно безобидный код, в котором нет проверки:

    $q = null;
if(!empty($_GET['q'])) {
  $q = $_GET['q'];
}
// тут начинаем работать с $q как со строкой

    А вот менее безобидный пример: в WordPress до версии 2.8.4 можно было таким вот образом сгенерировать новый пароль администратора без отсылки ему каких-либо писем.

    3 комментария

  4. SVN strikes back: big projects are in danger

    25 сентября 2009

    С таким заголовком изначально планировался выход адаптации статьи Антона Исайкина и 2-х товарищей, ставшей очень популярной в очень короткое время.

    Из-за большей, чем у нас на Родине полит-корректности и суровых наказаний за пренебрежение оной, статья подверглась правкам и изначально выглядела довольно глупо.

    К счастью, редактор Smashing Magazine Виталий Фридман прислушивается к мнению авторов. Поэтому, адаптация хоть и не вышла столь сенсационной, но получилась, по-моему вполне достойной.

    Читаем

    2 комментария

  5. Были получены исходники 3300 глобальных интернет-проектов

    23 сентября 2009

    Антон Исайкин и сотоварищи очень интересным способом смогли получить исходники 3300 глобальных интернет-проектов. И это не какие-то там мелкие домашние странички, а Яндекс, Рамблер, Opera и т.д.

    Как это было и как с этим бороться читаем на Хабре

    4 комментария

  6. Роковые ошибки PHP

    12 октября 2008

    Описание распространённых и не очень уязвимостей PHP с примерами. Очень полезный материал для всех, кто хочет писать хороший защищённый код.

    Часть 1

    Часть 2

    Комментировать

Интересное

Друзья

Разделы

  1. absolute (5)
  2. Active Record (7)
  3. Android (6)
  4. API (17)
  5. array (6)
  6. backendsecret (5)
  7. background (7)
  8. CakePHP (10)
  9. Chrome (16)
  10. clear (6)
  11. CMS (17)
  12. CodeIgniter (68)
  13. Composer (12)
  14. CSS (310)
  15. css3 (5)
  16. curl (5)
  17. devconf (20)
  18. Docker (5)
  19. Drupal (54)
  20. Eclipse (17)
  21. Facebook (8)
  22. Firebug (14)
  23. Firefox (42)
  24. Flash (7)
  25. float (12)
  26. Framework (26)
  27. Games (20)
  28. Git (9)
  29. GitHub (7)
  30. Google (23)
  31. hardware (7)
  32. hhvm (6)
  33. highlight.js (7)
  34. Highload++ (8)
  35. HTML (20)
  36. HTML5 (8)
  37. HTTP (6)
  38. Humor (7)
  39. Icons (37)
  40. IDE (107)
  41. IDEA (32)
  42. IE (77)
  43. inline-block (5)
  44. input (7)
  45. iPhone (6)
  46. Java (5)
  47. JavaScript (243)
  48. JetBrains (6)
  49. jQuery (75)
  50. Kohana (8)
  51. markdown (5)
  52. MongoDB (5)
  53. MySQL (30)
  54. mystuff (75)
  55. NetBeans (30)
  56. nginx (6)
  57. OpenSource (19)
  58. Opera (85)
  59. Optimization (45)
  60. PDT (11)
  61. Perl (6)
  62. Photo (6)
  63. Photoshop (6)
  64. PHP (509)
  65. PHP Russia (9)
  66. php-fig (5)
  67. phprussia (7)
  68. PhpStorm (48)
  69. PNG (14)
  70. position (6)
  71. Prototype (5)
  72. PSR (10)
  73. PyCharm (5)
  74. Python (15)
  75. Quake (8)
  76. redis (5)
  77. RMCreative (39)
  78. Ruby (5)
  79. Safari (6)
  80. select (5)
  81. Skyeng (5)
  82. Smarty (16)
  83. Soft (129)
  84. SQL (33)
  85. SVN (7)
  86. Symfony (13)
  87. Tools (98)
  88. Total Commander (18)
  89. UWDC (9)
  90. W3C (7)
  91. Web IDE (25)
  92. WebConf (5)
  93. WebStorm (16)
  94. Windows (18)
  95. WordPress (6)
  96. xdebug (5)
  97. Yii (323)
  98. Yii2 (57)
  99. yii3 (15)
  100. YiiConf (7)

© 2005—2024, Александр Макаров (Sam Dark)

~ дизайн: fazeful design //Отработало за 0.01369 с. Скушано памяти: 1.49MB

<rmcreative/>