Salve a tutti secondo voi i programmatori PHP possono creare pagine PHP in grago di danneggiare il compuetr degli utenti??????????
Esempio esemplificativo
Vedere il contenuto di directory private come Documenti o System ecc...
Eseguire o copiare programmi sul pc dell'utente..........
Chiunque sappia qualcosa risponda mi serve per una tesi sulla sicurezza informatica
dai qualcuno davrà pur conoscerre PHP perfavore !!!!!!!!!!!!!!!
PHP gira lato server quindi non è possibile creare script che vadano a toccare direttamente le macchine client.
E' possibile invece generare pagine che contengono javascript che sfrutta una qualche falla di sicurezza specifica dei browser, ma tutto questo avviene comunque eseguendo codice lato client, quando lo script PHP ha già terminato la sua esecuzione ed ha già servito la pagina.
Tutti hanno bisogno di credere in qualcosa.
Io credo che mi farò un'altra birra.
Sì...in altri termini, dal punto di vista client, il PHP è totalmente invisibile.
L'unica cosa che può fare al client è inviargli dati via HTTP (generalemte testo HTML).
A rigore L'HTTP permette di trasferire file ma questo avviene sempre su richiesta dell'utente e comunque senza alcun intervento da parte di PHP. Cioè è una iterazione del client con il server.
Come diceva M4rko devi vedere il client e lo script PHP come oggetti in due spazi temporali assolutamente separati!
Oltre che javascript guarderei alle varie applet java...sebbene abbiano, anche le seconde, limitazioni che dovrebbero rendere quasi impossibile attacchi al client.
Uhm, non sono totalmente in accordo con le risposte di cui sopra. Con PHP si può risalire all'ip del visitatore e volendo si può tentare di aprire una connessione a tale pc utilizzando i socket e se si riesce ad aprire un socket volendo si potrebbe utilizzare un qualche exploit per fare un po' di chiasso.
Di più non so.
gli IP rilevati non sono del client, sono del NAT o del DOMAIN di chi fornisce la connessione, 56K o ADSL che sia.[supersaibal]Originariamente inviato da RokStar
Uhm, non sono totalmente in accordo con le risposte di cui sopra. Con PHP si può risalire all'ip del visitatore e volendo si può tentare di aprire una connessione a tale pc utilizzando i socket e se si riesce ad aprire un socket volendo si potrebbe utilizzare un qualche exploit per fare un po' di chiasso.
Di più non so. [/supersaibal]
E solitamente hanno macchine firewall hardware abbastanza pesanti da scavalcare per una socket ...
Verissimo , invece, se si tratta di PC con IP pubblico, statico senza protezioni ... anche se , ammesso che abbia un firewall, una volta abilitata la prota internet, basterebbe usare quella per provare ad accedere e fare casino ( ma devi autenticarti etc etc ... tipo un putty sul tuo host internet ) ... in sostanza, in intranet PHP puo' essere moto dannoso, via internet e' molto difficile renderlo "aggressivo", fai prima con una applet Java dichiarando contenuto sicuro e iniettando un esploit
Prima di tutto vorrei ringraziarvi per le risposte.
Se ho capito bene io con PHP potrei creare applicazioni lato server che però rilevano l'indirizzo ip dell'utente(E questo lo sapevo ).
Ora quello che non so è una pagina PHP puo "agire da sola" .Cioè faresolo con la programmazione della pagina senza che il maleintenzionato sia connesso e magari salvare i dati o file che interessano in qualche HD remoto?Con PHP si può risalire all'ip del visitatore e volendo si può tentare di aprire una connessione a tale pc utilizzando i socket e se si riesce ad aprire un socket volendo si potrebbe utilizzare un qualche exploit per fare un po' di chiasso.
stai progettando un net-virus o cosa ?[supersaibal]Originariamente inviato da Barman@83
Prima di tutto vorrei ringraziarvi per le risposte.
Se ho capito bene io con PHP potrei creare applicazioni lato server che però rilevano l'indirizzo ip dell'utente(E questo lo sapevo ).
Ora quello che non so è una pagina PHP puo "agire da sola" .Cioè fare
solo con la programmazione della pagina senza che il maleintenzionato sia connesso e magari salvare i dati o file che interessano in qualche HD remoto? [/supersaibal]
studiati i primi warms netsky , usavano il solito Messenger ( net send ) aperto di default su tutti i windows NT ... almeno mi sembra sia quello, o altri, boh, fai un giro su symantec
oppure spiega che caspita devi fare, se e' un backup per servers remoti allora metti lo script nel server remoto e ti autentichi con password poi scarichi il file tramite un batch in crontab che prima si autentica e richiama, poi dopo 5 minuti scarica ...
Ok Scusate mi spiego meglio
Io mi interesso di sicurezza internet come studioso del fenomeno e ogni tanto faccio qualche consulenza nelle aziende.
Ora visto che è da poco che sto studiando il php volevo sapere tutte le sue potenzialità pericolose per la sicurezza in rete.
Diciamo che conoscendo il nemico lo si sconfigge meglio........
se e' sicurezza internet qualunque linguaggio web purpose non potra' mai fare danni se non espressamente installato nel PC o server o a meno che non sia in una INTRANET, perche' il linguaggio di programmazione server altro non fa che generare una pagina, il resto puo' farlo in locale , per farlo in remoto deve autenticarsi su un IP statico Pubblico senza firewall e senza sistemi di protezione, se esiste ( si , esiste, lo so per certo ma non perche' isa voluto , semplicemente perche' sono ignoranti in ambito sicurezza ) e' un caso molto raro, altrimenti l' unico modo per fare danni e' stare in ubna intranet non protetta, alche' con i comandi batch fai un po' quello che ti pare, oppure usare le solite falde di Internet explorer tramite JavaScript ... una a caso:
IE permette di salvare dati in locale tramite JS senza che l'utente ne sia a conoscenza, bene, un codice eseguibile o un esploit di qualche tipo, e ce ne sono tanti in rete, basta per installare o attaccare il client.
Altre falde con applets java, forse flash su percorsi locali assoluti, ma comunque sempre e solo con sistemi client, quindi non gestiti dal linguaggio server side, che sia .NET, PHP, Python, C ... altri
Permessi di invio
Rispondi quotando