מדריכי אבטחה

phpguide » כתבות ומדריכים » כל הקטגוריות » מדריכים בנושא אבטחה
Shodan – מנוע חיפוש הכי מסוכן באינטרנט

Shodan – מנוע חיפוש הכי מסוכן באינטרנט

אני יספר על מנוע חיפוש בשם שודן.
שודן, לעומת מנוע חיפוש רגיל, מחפש מכשירים שמחוברים לאינטרנט - מצלמות אבטחה, ראוטרים, מדפסות, מקררים רמזורים וכו'...
Cayce,
 16 לפברואר 2014
חשבת ש-sha1 עם מלח זה מספיק? פונקציות לעבודה מאובטחת עם סיסמאות!

חשבת ש-sha1 עם מלח זה מספיק? פונקציות לעבודה מאובטחת עם סיסמאות!

אבטחה, סיסמאות, הצפנה, גיבוב וקריפטוגרפיה זה בדרך כלל לא הנושאים שהכי מעניינים אותנו בתור מתכנתי PHP והרבה מאוד פעמים מהווים את הנקודה החלשה במערכות שלנו. רוצה להפסיק לשבור את הראש ולהישאר מאובטח?

עברה כמעט שנה מאז הפרסום הראשוני של המדריך הזה, אך אנשים ממשיכים לעשות את אותם הטעויות בהצפנת סיסמאות. ממשיכים להשתמש ב-md5, אולי עוברים ל-sha1, אחרים מוסיפים מלח (salt) לפונקציות הגיבוב שלהם, אבל שום דבר מזה לא מספיק. שני פונקציות חדשות שנוספו לשפת PHP ושימוש בלאגוריטם הצפנה מתעדכן מבטיח להשאיר אותך מאובטח.
intval,
 15 לדצמבר 2013
כלים עבור פנטסט

כלים עבור פנטסט

שלום.
במאמר הבא אני אציג כמה כלים עבור פנטסט לאתרים, כלומר כלים שמחפשים אוטומטית חורים כמו SQL Injextion, XSS ו-RFI.
Cayce,
 26 לפברואר 2013
איך פרצתי ל phpguide

איך פרצתי ל phpguide

בפוסט הזה אני הולך להסביר למה אסור להשתמש בתמונות ממקורות זרים.
Cayce,
 23 לינואר 2013
מה אפשר לפרוץ מבלי לקבל בעיות?

מה אפשר לפרוץ מבלי לקבל בעיות?

(Pentest (penetration test - נסיון חדירה למערכת, על מנת לבדוק את רמת הבטיחות שלה.

כולנו מדי פעם רוצים לנסות את הידע התיאורתי שלנו באבטחת מידע על מערכות אמיתיות. רק שרוב הפעמים זה לא חוקי, ויכול לגרום לנו לבעיות. במיוחד בשביל אנשים כמונו,אני יציג כמה מקומות בהם אפשר לבצע פנטסט בצורה חוקית לגמרי.
Cayce,
 22 לינואר 2013
owasp israel 2012 — מה פספסנו?

owasp israel 2012 — מה פספסנו?

החמישי לספטמבר, תשע בבוקר, התרנגולים מתעוררים וגם אתם, בקושי. עדיין חצי חולמים חצי ערים חושבים איך לקחת מטוס לשדה התעופה בהרצליה, משם לקפוץ מעל הגדר אל המרכז הבינתחומי והכנס השנתי של Open Web Application Security Project . אמנם את דברי הפתיחה באמת פספסנו, היו עוד כמה דברים מעניינים בהמשך:
intval,
 06 לספטמבר 2012
NAXSI – ההגנה האולטימטיבית ל-Nginx

NAXSI – ההגנה האולטימטיבית ל-Nginx

NAXSI – Nginx Anti XSS & SQL Injection – זהו פיירוול אפליקטיבי, אחיו של mod_security לשרתי Nginx, שיעזור לכם להגן על האתר שלכם מפני XSS, SQL Injections, CSRF, Local & Remote File Inclusion. עובד מהר וקל בהגדרות. עדיין ב-Apache בגלל mod_security?
intval,
 15 ליוני 2012
PHP 5.3.14 and PHP 5.4.4 Released

PHP 5.3.14 and PHP 5.4.4 Released

עוד עדכון במשפחת העדכונים הקריטיים מתקן כמה באגי אבטחה חשובים, וביניהם:
- חולשה בפונקציה crypt של אלגוריתם ההצפנה הפופולארי des
- heap overflow בארכיוני phar
intval,
 14 ליוני 2012
PHP 5.3.13 and PHP 5.4.3 Released

PHP 5.3.13 and PHP 5.4.3 Released

באג קריטי שמאפשר לגשת לקוד המקור של דף PHP נסגר אחרי למעלה משמונה שנים. התקנות מסוימות של PHP חשופות. apache+mod_php ו nginx+php_fpm לא מושפעים.
intval,
 04 למאי 2012
שפות פיתוח Web חשופות למתקפת DoS

שפות פיתוח Web חשופות למתקפת DoS

כמה שפות תכנות חשופות למתקפת Denial of Service בגלל פונקציות השמירה במבני נתונים מפתח-ערך (hash data structures). בין השפות: php, java, python ו-ruby.
intval,
 16 לינואר 2012
הזרקת קובץ בהעלאת קבצים

הזרקת קובץ בהעלאת קבצים

באג אבטחה קריטי בגרסה 5.3.6 ומטה של PHP התגלה לפומבי ומאפשר להחדיר קובץ לתיקיית c:\windows או / בלינוקס דרך מנגנון העלאת קבצים פשוט.
intval,
 23 ליוני 2011
Cross Site Scripting

Cross Site Scripting

סכנות ודרכי הגנה נגד הזרקות HTML.
iosolidar,
 23 ליוני 2011
SQL Injection

SQL Injection

SQL injection יכולה להרוס לכם את האתר, הגנה מפניה היא בבסיס אבטחת האתר. המדריך הבא יסביר כיצד היא פועלת וכיצד ניתן להתגונן מפניה.
iosolidar,
 21 ליוני 2011
5 מיתוסים על md5

5 מיתוסים על md5

הנא חמש מיתוסים על md5 או למה כדאי לא להשתמש בו.

1. md5 זו הצפנה.
2. אפשר לפרוץ md5.
3. פרצו את md5. צריך להפסיק להשתמש בו.
4. שתי מחרוזות שונות יכולות להיות עם hash זהה.
5. sha1 יותר מאובטח, עדיף להשתמש בו.
intval,
 23 למאי 2011
הצפנת נתונים ב-MySQL

הצפנת נתונים ב-MySQL

גם נתונים רגישים אפשר לשמור במסד נתונים. יתרה מכך, MySQL מכילה פונקציות הצפנה מובנות שיאפשרו לך להצפין ולהגן על המידע השמור באמצעות פקודה אחת קצרה.
intval,
 16 לאפריל 2011