ci sono tanti modi per attaccare un sito e purtroppo non csi' tanti per difendersi ...Originariamente inviato da MicheleWT
in che modo? ci sono che tu sappia risorse online riguardanti queste cose? cmq grazie dell'aiuto
Alcuni attacchi ( in ordine non casuale )
- inclusione files esterni ( fagianata d' oro )
- sql injections ( le solite, ma anche no ... )
- url "injections" ( variabili appese in get o in post )
- overflow forzato ( magari e' in chiaro l' errore in db ed altri dati ancora )
- bug forcing ( se non c'e' una versione aggiornata del software server-side e si conoscono i punti deboli di questa versione si puo' "entrare" in modo piu' o meno semplice )
- attacco sul server da "dietro" , se e' virtuale
- attacco al server ( ftp, database, http )
E probabilmente altri che ora non mi vengono in mente.
Le situazioni pericolose di eval sul codice lo associo all' url injections.
Purtroppo come noterai solo i primi punti possono essere "controllati" dallo sviluppatore, poche' se il server non e' tuo e' facile che l' host non abbia l' ultima versione di php come e' facile che non abbia l' ultima distro linux con l' ultimo kernel e le ultime precauzioni contro certi tipi di attacchi ( idem per Microzozz ) .
Quindi dove puoi arrivare tu e' a livello codice, codice che sfrutta il PHP che puo' avere bugs piu' o meno devastanti se messi sotto mano di un bravo hacker, quindi la sicurezza al 100% non l' avrai mai ( in php come in altri linguaggi, e' uguale ) .
In compenso e' raro che si scavalca Apache ( non a caso e' il webserver piu' usato ) come e' raro che si riesca a sfruttare bene i bugs del linguaggio usato, percio' leggi quell' articolo, documentati un po' e dormi tranquillo
Rispondi quotando
