12 Ocak 2011, ÇARŞAMBA

Php Güvenlik Pt 3

Ve internet her ne kadar mahkemede 30 benim PHP güvenlik öğretici yürümek bugün daha geleneksel bir sunum tarzı için sadece geri gidiyorum Bu bir kez ve en savunmasız web sitesi güvenlik açıkları üzerine gitmek yaygın hacker saldırı Şimdi bu bir olmaya gidiyor bir temel sunum olacak biraz bazı yerlerinde karmaşık ama biraz bu yüzden eğer aşağı bir çok şey yok Ben bu yüzden bu sunumda çok özel alamadım Gelecekteki sunumlarda ben alırsınız merak etmeyin çok daha fazla onları daha iyi korumak için nasıl sitelerin saldırıya ve nasıl getirmedi belirli Özellikle ben size sitenizi savunmak yoll

arı üzerinde gidebilir tekrar tekrar istemciye gönderilen hiçbir şeyin sizi tekrar Hiç ve benzeri ve benzeri JavaScript kodu anlam söylüyorlar ya sizce kullanıcı girişi emniyete ya da temizlenmiş JavaScript

ile bazı geçmesi bu varlık, gerçek sereceğim saymak asla aktörler kullanıcı kimlik doğrulaması atılım yolları ve bu kadar ben sadece korumak için bazı açılardan kullanıcı kimliklerini ve şifrelerini ortala

“Bu PHP Güvenlik video eğitimi ben hacker web sitelerine saldırmak en savunmasız yollardan gitmek. Yakalama Proxy ile Web Sitesi Kimlik Kırma ve İstemci Tarafı Man...”
Derek Banas

ma Kendinizi gelen istemci tarafı ve kimlik doğrulama saldırı kısaca eylemi gitmez diğer bazı teknikler üzerinde bir açıklama görünürde kırmak için kullanılan Akers Bu dört ana yolu web sitenize savunmak kimlik doğrulama düzgün doğru kullanıcı kimliğidir kullanarak şifreler ve yakalar emin ama otomatik saldırıları engelleyebilirsiniz Düzgün oturum yönetimi ile tüm kullanıcı girişi temizlik ve erişimi sınırlandırmak ve tamamen ayrı yönetim araçlarını tutarak Temel

Php Güvenlik Pt 3 Resim 1 Php Güvenlik Pt 3 Resim 2 Php Güvenlik Pt 3 Resim 3 Php Güvenlik Pt 3 Resim 4

kullanıcı hesapları sizi her zaman temiz olmalı sunucuda sunucuya gönderilen tüm mesajları neden istemci tarafı manipüle etmek son derece kolay olmasıdır ve sana bu yapılır bir kaç farklı yollar olacak vereceğim ilk insan gidip bir ile tüm web indirmek olabilir Böyle W gibi uygulama backpage onlar gibi ancak kodunu düzenlemek ve daha sonra yeniden almak yarattıkları ve saldırıya sunucu şimdi yönlendirme Hatter ne denir kontrol edebilirsiniz sayfa gönderilen adrese referans hangi ve bu ancak HTTP isteğinde gömü

lü Gerçekten hiçbir şekilde aslında bir güven var yani bu da düzenlenebilir Herhangi bir zamanda istemci tarafında gönderilen ediliyor bilgisayar korsanları bir yakalama vekil denilen bir şey kullanmak ister Ne bu ne onlar sunucu tarayıcı arasında oturmak bu yüzden aslında müşterim var ve daha sonra vekil yakalama var ve daha sonra sunucu böylece yakalama var vekil sizin neyi arasında oturur düşünmek senin güvenli, emniyetli JavaScript kodu ya da her türlü hepiniz ciddi ve istemci üzerinde ve hiçbir şey John Kline ve hatta flaş koruyabilirsiniz çünkü o müşteri arasında oturur, böylece ya da iş Birisi bir dakika içinde açıklamak ve kıskaçlar ve yakaladığını tüm bilgileri sunucuya alır önce istemciye alır ve daha önce de sunucudan bilgi kapmak gibi web korkutmak gibi programlar Paris'te geğirmek biz yakalama procs dediğimiz lazer kullanılmaktadır onlar çok istiyorum sadece kesinlikle olumlu hale kurmak son derece kolaydır Eğer değişkenler ve gizli değerler çerezleri anlıyorum şey kolayca görülebilir ve düzenlenebilir ve tabii ki bilgi aktarılması için olsun yöntemini kullanırsanız bu URL'ye geçirilir şeyi değiştirmek oldukça kolaydır işte ben kolayca gelip bu değeri değiştirebilir şifrelemek güvenli olmayabilir de değerleri Onlar istemciden gönderilen ediyorsanız buraya nerede sıralama bir gerçek dünya biliyor verebilir örnek en Örneğin diyelim ki size bir PHP deposu oluşturmak Kurt ve her bir kişinin bir gibi satın almak istediğiniz ürünü seçer Sony stereo Ayrıca şifrelemek yaptım değerini geçmesi Sony stereo için özel bir fiyat için örnek bir kişi söyleyebilirim Bir indirim kodu ya da ne olabilir Herhangi bir nedenden dolayı sen ancak sizce fiyatı geçmesi gerektiğine karar Justin crypt o ise fiyat ve bunu değiştirmek mümkün olmayacaktır Bir şey şifrelemek yoksa yanlış şansı var PHP kodu ben de aynı şekilde söz konusu kişinin her şeyi şifrelemek bu yüzden çok kolay biri gidebiliriz ve buluntular bir paket sakız fiyatını söylemek onlar Sony stereo oldukça az olacak hangi ve sonra sadece bu gibi URL şifreli kod ve playset bu almak Bu o değerleri nasıl şifrelemek sadece kısa bir örnektir Onlar istemciden geliyorsun belki de değil güvenli Eğer Java uygulaması efendim flaş kullanıyorsanız ve bu ne kadar basit bu olduğunu Örneğin PHP kodu ile yaptığımız gibi bir tam aynı şey gitmek Birkaç sadece onu aracılığıyla çalışabilen bir iş başvurana var derlemek olacak Çad adında bir program ve daha sonra başka bir program Joe adında bunun anlamı herhangi bir karartılmış bir kod temiz olacak Zaman bir sürü insan iş başvurusunda ve flaş oluşturmak programları ve benzeri ve benzeri ve bir ofis denen aracılığıyla onları çalıştırmak sağlamak ve bu temelde ca Joel gibi bir program kadar karışık olduğunu mu neyi sizin için temizlemek ve flaş da yapmak programları vardır Tam olarak kendinizi korumak nasıl bu kadar çok benzer şeyler Sadece hiç bir istemci kuyudan gönderilen potansiyel olarak zararlı bilgilerden müşteriye kişisel bir şey aktarmak ne de bir şey aktarmak sunucuya istemci doğrudan olması gerekmez Biz daha önce küçük bir sorun etrafında almak nasıl İlk kapalı iyi bir fiyat geçmek istedim olup olmadığı açısından mümkünse sadece bu liste fiyatını geçemiyor: böylece kişi vardır fırsat değiştirmek için Eğer ihtiyaç bulursan ama bir ürün kimlik numarasını alabilir fiyat izledi ve daha sonra bu bütün bütün değer şifrelemek ve daha sonra bu bu sorunu önlemek yardımcı olacağını ayırmak Ayrıca cryptid ve düzeltilmemiş sürümleri gösteren önlemek istiyorsanız % uh aynı bir hacker anlamaya muktedir böylece vergilendirilir tam olarak bu metin Cryptid değildi nasıl Şimdi istemci hakkında bilgi güvenliğini sağlamak için çalışmalısınız demiyorum Bu genellikle, çünkü büyük bir rap Şu anda konum olmadığını anlamaya çalınmasından ile kontrol söylüyorlar örneğin Adı alanına bir kişinin yada kimliği için sadece örnek için 12 karaktere kadar girer iyi o zaman PHP geçti ve sunucu tarafında çalıştırılır ise daha yüksek 12 karakter şifre şansı çok iyi O Pastor JavaScript kontrolleri ile her nasılsa kişi ve şimdi olması gereken hangi tekrar aynı sorun ile sunulmaktadır ediliyoruz istemci üzerinde devre dışı bırakıldı Seni anlamına gelecektir ya bir hacker ya da birileri erişmeye çalışıyor senin Eğer karar verirseniz javascript ile web sitesi devre dışı tarafında hata ben IP oturumu kapatmak ve devre dışı oturum olacağını Güvenliğe edeceğiz hesap numarası içine daha fazla almak için Ayrıca takip etmek istediğiniz tüm bunlar farklı şeyler ve sonraki öğreticiler nasıl istemciye gönderilen tüm veriler için çok uygun temizlik prosedürleri Kullanıcı giriş yalnızca geçerli karakterler içeren doğrulamak istiyor a ve bu sırayla geçersiz bağlantı çok özeldir Herkes o zaman kullanıcının doğrulamak istediğiniz SQL enjeksiyon karşı koruma kimlik ve sonra bu sırayla bunu neden HTML nedeni kaçmak istiyorsun, diyelimki Eğer burada bu havuç desteğini kodlamak istiyorum Daha sonra bu formatta ve gelip bütün teyzeler amcalar dışarı silmek ve Yarı Kolonlar korumak için genel güvenlik diğer bir sürü oluşturmak için gidiyor burada görebilirsiniz ek kayıp yüzden nasıl kaba kuvvet saldırılarına aracılığıyla ağırlıklı olarak kimlik doğrulama saldırı olduğunu ama bu kesinlikle öyle değil ve bence eğer saldırıya ediliyor kaba kuvvet saldırısı tabii tüm başarısız oturum açma izlemek olabilir kilitli bir izleme IP adresini kapalı tabanlı hesabı olduğunu bunu yapar üzerine denir başka kesmek için açmak kişi sadece komut olabilir bilgi hizmeti saldırı oliver kullanıcı kimliği ve sürekli yanlış parola girin Tüm hesapların giriş yapabilirsiniz kullanıcılarımız aşağı kilitli içine Herhalde kaba kuvvet saldırısı kardeşine önlemeye yardımcı olabilir başka bir yol sadece Benzersiz oluşturmak kullanıcı kimliği benzersiz oluşturmak için zorlamak aynı şekilde olduğunu Yine bu ikinci ve şifreleri ile günaydın demedim şey Bir istemciden kişisel böylece tüm kullanıcı kimlikleri ve şifreleri yapmak istiyorum En az bir büyük harf karakteri bir küçük harf karakteri bir sayı içermelidir Potansiyel tek alfanümerik karaktere ve ben bu bizim eşsiz seviyorum hem aynı kullanıcı kimliği istemiyorum emin olun ve şifre artı kesinlikle oluşturduğunuz bir güvenlik soru sormak istersiniz gerekir hiçbir şekilde onları çok sık sık kendi güvenlik sorunuzu yapalım güvenlik sorusu olacak Şifre kendisi ve ben biraz bütün güvenlik sorununu messes ve aynı zamanda düzenli olarak değiştirmek zorlamak isteyeyim onların şifreleri Başka bir yaygın hata sadece oturum açılamadı kişiyi anlatıyor ve tam olarak neden kullanıcı kimliği yanlış çünkü onlar giriş başarısız olduğunu onlara asla veya şifre çünkü sadece onlar için bu çok daha kolay hale getirir, çünkü için ve eğer onların yol kaba kuvvet 30 dakika veya bir saat, bir zaman aşımı sevgi diyorum koymak Onlar izin verilmeden önce tekrar oturum açmayı deneyin O zaman aşımı süresi sadece tekrar denemek için onlara zaman onlara söyleme gönderilen hatırlamak çerezleri vekiller müdahale ederek ele geçirilebilir Bir hesap etkinleştirme kodu oluşturmak yapmak emin olun eğer benzersiz olduğunu Biz acaba önceki öğretici Hesap etkinleştirme kodları üzerinden gidiyor ve o komut bana çok olacağına inanıyorum Bu öğretici devam edildi olduğunu daha güvenli Eğer çok aşamalı giriş sistemi kullanıyorsanız oldukları örnek teşvik anlamına gelir bir kullanıcı kimliği ve parola koyarak ve daha sonra girmek için gerekli ardından PIN numarasını girmeniz ve gerekli olacaktır ayrı sayfalara bir Captcha kodu hepsi geçti doğrulamak emin olun Önceki aşamaların Her zaman onlar evre 2 de onların cezasını üzerinde gözden istendi evre 3 aksi Biri ve belki atlamak için izin verecek Ayrıca güvenlik acele edildi pin kodu numarası JustAnswer Eğer çok aşamalı giriş sistemi kullanıyorsanız ayrıca bir geçmek istiyorum asla doğruydu doğrulanmış gibi değer onlar çok aşamalı bir sistem geçtiği her nokta için ve ayrıca hiçbir şekilde bu güvenli ama her zaman yazılan istekleri kullanmalısınız üzerinde HTML diğer ortak hatalar istekleri şifreyi depolamak olsun bilgi Bu sistemde depolanan oturum belirteçleri ile kolayca erişilebilir olacak oturum kimliği en içine daha fazla olsun ve bu bilgileri ederim güvence her zaman mümkün olacaktır önce onların şifrelerini girmek istiyorum giriş Eğer oturumları güvenli isteyeyim şey olacak Sadece hikaye başka şifre komut unuttum Randy'nin bir şey değildir Bu kesmek için en kolay yollarından biridir korunmalı ve gitti olmalı Web sitesinde bazı o saniyede daha fazla olarak da yakalama sistemleri kullanmak için mümkün olduğunca onlar mükemmel çok güvenilir değil ama çok güvenilir ve söylüyorum çünkü otomatik bir bilgisayar sistemi ve insan arasındaki fark Yine kullanıcıların kendi güvenlik soruları bulmak için asla izin Çünkü neden çok sık bir soru olarak şifre altında yani nasıl tam size unuttum şifre komut güvence altına almalıdır iyi kullanıcı bunları başka göndermek istiyorum, yeni bir şifre talep etmez e-posta rastgele şifre onları orada orijinal şifre göndermek yok Bir güvenlik soruyu cevaplamak için bunları gerektirecek istiyorum daha Onlara kimseye söyledim hatırlıyorum ya Sistem emin olun yakalamak için elbette yeni bir şifre oluşturmak için bunları gerektirir Bu otomatik bir sistem Eğer kullanmak için bir zaman sınırı ayarlamak istediğiniz Daha sonra% uh bu komut ve kapatın ve sonra tabii aslında isterdim tüm etkinliğini günlüğe oliver parolası komut unuttum tekrar bu olduğunu Çok sık alanı yukarı web sitesi davranır Şimdi sahip diğer rastgele saldırılar hakkında kısaca biraz geçmesi cross site scripting saldırıları ve cross-site scripting saldırısı yataklarında zaman bir hacker normalde ve daha sonra normal mesajlar gömülü istemci tarafı kod yazılan yürütür Bülten panoları ve bu kodu yürütülür sadece zaman olabildiğince hareketsiz çerez oturum verileri ve nasıl çevresi hariç temelde bir cross-site scripting çok daha fazla olsun Bunu önlemek her zaman bizim yayınlanma tarihi alır herhangi bir bilgi olmaktır Web sitenize ve SQL enjeksiyonu yine bu gitti ve önceki PHP güvenlik öğretici daima kullanıcının girdiği tüm giriş doğrulamak Eğer temelde sınırlayarak Bunu önlemek oturum kaçırma ve tespit var Eğer sakladığınız bilgiler senin oturumlara ve o zaman da oturum yenilenme kimliği işlevini kullanabilirsiniz hangi bir yeni bir oturum yaratacak Bir kişi her zaman yaratmak için iyi bir fikir de sistem üzerine gelip ne zaman İkincil doğrulama belirteçleri Eğer oturumları kullanıyorsanız ve ben çok yakında o içine çok daha fazla olsun her Bu öğretici o zaman duş vergisi var ve insanlar yürütmeye çalıştığınızda her bu Kabuk kodunuzu komutları ve temelde bu önlemek için Bunun emin yapmak zorunda iseniz, ancak kabuk komutları yürütmek yok Tüm kullanıcı girişi ilk PHP tarafından sağlanan kaçış gösterisi org fonksiyonu aracılığıyla gönderilen ve bundan yine biraz daha birçok tampon taşmaları ve temelde ya da o tür bu öğretici açıklamak zor bir şey onları geçersiz Başlarken sonra neler ama temelde iki sadece dizeleri göl kadar sınırlamak istediğiniz günleri ortadan Kullanıcıların kullanarak geçmek mümkün olduğunu Dize bağlantı işlevi böylece bir sonraki daha yeni çok daha fazla bakım için sabırsızlanıyoruz tanıtım Herhangi bir sorunuz varsa veya yorum aşağıdaki yorum bölümüne onları terk Bir sonraki sefer.

Açıklama

Bu PHP Güvenlik video eğitimi ben hacker web sitelerine saldırmak en savunmasız yollardan gitmek. Yakalama Proxy ile Web Sitesi Kimlik Kırma ve İstemci Tarafı Manipülasyon.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

Derek Banas

Derek Banas

Ben senin isteklerine dayanarak eğitimlerini yapmak. Hayal edebileceğiniz herhangi bir konuyu kapsayacak

YORUMLAR



10/10

  • 97
    Olumlu
  • 0
    Olumsuz
  • 19
    Yorum
  • 9445
    Gösterim

SPONSOR VİDEO

Rastgele Yazarlar

  • eyes4beautee

    eyes4beautee

    17 HAZİRAN 2011
  • MagicofRahat

    MagicofRahat

    13 Temmuz 2007
  • THELIFEOFPRICE

    THELIFEOFPRI

    16 Mart 2011

ANKET



Bu sayfa işinize yaradı mı?