[php] [MySql] crackare un sito?

[MicheleWT]

dunque precisiamo subito che non voglio crackare alcun sito

realizzando siti internet dinamici con aree di autenticazione viene spontaneo chiedersi.....ma quanto è sicura l'area riservata?

insomma come faccio a sapere se il mio sito è sicuro?

come si muovo i cracker/hacker? come evitare che lo facciano?

[luke83]

questo
potrebbe essere uno spunto di partenza...

[MicheleWT]

si, lo avevo già letto grazie....il punto è alla fine sapere se il sito è sufficientemente sicuro....ho sentito parlare di programmi fatti c per tirare fuori gli account ftp....a quel punto la sicurezza non esiste +! VVoVe:

tutti gli hacker/cracker dicono che un sito sicuro al 100% non esiste....basta trovare un bug

volevo sapere se conoscete i passi classici per eludere i sistemi di sicurezza....quelli che provano tutti insomma. in modo da capire come si muovono

[luke83]

come tu stesso hai detto siccome la programmazione senza errori è una chimera (prima assioma della programmazione) i bug e le falle da sfruttare sono sempre in agguato.. anke i sistemi più testati soffrono gli attacchi di malintenzionati.. anke per l'ftp se nn ci si protegge con pwd sicure (tipo >= 8 lettere con un paio di numeretti e volendo qualche carattere strano) ultimamente ci sono programmini che te la trovano in un batter d'occhio (o quasi)... io nn mi sforzerei + di tanto.. inutile dire che se la cosa è esplicitamente richiesta...

[MicheleWT]

sarebbe utopico avere un elenco delle cose principali da non fare in fase di strutturazione e scrittura del codice per non andare a gambe all'aria?

per esempio....non utilizzare mai sessioni senza dati criptati...che ne so, utilizzare md5 anzi che crypt()? qualcosa di simile

[luke83]

ti ripeto ci perderesti la testa e ste cose magari vanno fatte per cose sensibili ma ti immagini a criptare una tabbellona dell'anagrafica e quindi decriptarla ad ogni visualizzazione...

io irrobustirei il discorso dell'autenticazione e il furto di identità virtuali di solito è lì che si perde maggior terreno nei confronti dei malintenzionati..

[MicheleWT]

in che modo? ci sono che tu sappia risorse online riguardanti queste cose? cmq grazie dell'aiuto

[luke83]

ad esempio pwd lunghe e come ti ho consigliato.. nel db mai pwd nn criptate.. xkè se sbloccano un account con privilegi sulla tabella li sbloccano tutti.. ect ect evitare pwd in chiaro nelle form e nel loro invio.. diciamo i principi sani e stupidi.. quelli dettati dal buon senso.. magari un server linzoz...

[MicheleWT]

un server linzoz????? VVoVe:

fino ad ora avevo solo sentito parlare di winzoz

con linzoz intendi linux?

[luke83]

sì è per la par conditio..

di solito i linux sono meno esposti ed intrinsecamente + sicuri.. ma adesso mi ammazzano dicendo che è meglio quello del tizio che gli si impalla alla presentazione...