Změny

Přejít na: navigace, hledání

Pravidla pro domovské stránky

Přidáno 507 bajtů, 3. 12. 2009, 09:18
Nejdůležitější zásada zní: "Nikdy nevěř datům od uživatele". Uživatel je potenciální útočník. Možná to zní tvrdě, ale je to tak a situace se bude pouze zhoršovat. Je NUTNÉ všechna data od uživatele (parametry skriptů, obsah formulářů) pečlivě kontrolovat, útočník se bude snažit vstupní údaje podvrhnout, aby tak docílil chování skriptu ve svůj prospěch.
 Například Představte si skript , který je volaný: '''index.php?stranka=anketa''' . A uvnitř skriptu je:
include $_GET["stranka"];
Co to znamená? Programátor chtel vložit do výstupu skriptu soubor anketa. Ale neošetřil vstupy a zavoláním '''index.php?stranka=/etc/passwd''' si může útočník přečíst seznam uživatelů serveru.
Uspěje-li útočník, pak se stává správcem počítače a může si s ním doslova dělat, co chce.
 
==Redakční systém==
Je obvykle několik PHP skriptů, do kterých je možné přidávat obsah. Obvykle se jich týkají všechny předchozí body s tím, že uživatel je neprogramoval a netuší, zda je RS napsán bezpečně. Velké nebezpečí je v tom, že tyto systémy jsou profláklé a nalezení slabiny se věnuje mnohem více útočníků než vašim několika skriptům. Proto je tu jedna důležitá zásada - je potřeba udržovat tyto RS vždy aktualizované na poslední verzi.
163
editací