ABA
יומן פעילות לוח שנה מבזקי חדשות תקנון RSS כותרות כותרות לפי תגובה ניקוי קוקיז IP להורדת אפליקציה
eBay AliExpress GearBest Amazon Booking Kiwi SkyScanner Trip Advisor


"שאלה בנושא אבטחה בכתיבת קוד,"
גירסת הדפסה        
קבוצות דיון פיתוח, תיכנות ובניית אתרים נושא #11018 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 11018
dvir8
חבר מתאריך 13.5.02
5929 הודעות		   00:01   20.11.12   
אל הפורום  
  שאלה בנושא אבטחה בכתיבת קוד,  
 
   אגב, שמתי לב שאבטחה הוא תחום נורא נדיר.
כמעט ואין אנשים שמבינים בנושא.

בכל מקרה לשאלתי,
כשמדברים על קוד מאובטח יותר וכד'. איפה זה בא לידי ביטוי? מתי האקר יכול להשתמש בפרצות בקוד. אשמח אם מישהו יתן לי דוגמא ברמה של helloworld אבל רק כדי להבין איך בדיוק האקינג נכנס כאן לתמונה.

אני לא מדבר על sql injection וכאלה. אלא על קוד תאכלס ב C# וכד'


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  אולי זה יעזור לך קצת להבין.. bmx-boy  20.11.12 23:12 1
  בוא נגיד שיש לך שירות שאתה מייחצן באמצעות Web Service Nesher  20.11.12 23:34 2
     תודה אני אקרא בנושא כשיהיה זמן dvir8 21.11.12 00:31 3
  דוגמא ברמה של HelloWorld: ufo  24.11.12 15:30 4
  לא צריך לחפש בשדות זרים, בעיית אבטחה באתר של גולן טלקום... sharkk 04.12.12 00:51 5
     זאת אומרת שאתה חייב להזין לתעבורה שעוברת ברשת, dvir8 04.12.12 23:06 6

       
bmx-boy  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
2991 הודעות, 2 פידבק		   23:12   20.11.12   
אל הפורום  
  1. אולי זה יעזור לך קצת להבין..  
בתגובה להודעה מספר 0
 
   http://he.wikipedia.org/wiki/%D7%91%D7%93%D7%99%D7%A7%D7%95%D7%AA_%D7%90%D7%91%D7%98%D7%97%D7%AA_%D7%AA%D7%95%D7%9B%D7%A0%D7%94



                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Nesher  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 2.7.02
2 הודעות, 24 פידבק		   23:34   20.11.12   
אל הפורום  
  2. בוא נגיד שיש לך שירות שאתה מייחצן באמצעות Web Service  
בתגובה להודעה מספר 0
 
אם לא תדאג שלא כל אחד יוכל להכנס ולהשתמש בשירות, כל אחד יוכל להשתמש בו ולנצל אותו לחדור למערכת אם למשל זה שירות שמאפשר להזין מידע למערכת
כמובן גם בדרך לבדוק שהמידע שנכנס לא פוגע בשלמות המערכת ועומד בקריטריונים מסויימים

זו למשל דוגמא שהייתה לי פעם במשהו שפיתחתי בצבא
וכשמדור מיוחד שמתעסק באבטחת מידע בדק לי אותו, היה לו בעייתי מכמה בחינות כי דאגנו למס' הגנות בדרך.. אבל הם עדיין הצליחו לעשות נזק קל שבסופו של דבר תוקן

כדאי ללמוד את זה ברמה מסויימת, יש אנשים שזה המקצוע שלהם לסייע בפיתוח מאובטח או בבדיקות חדירות למערכות
אם אתה באמת רוצה גם כדאי להתעדכן מה קורה בשטח וללמוד קצת פריצות כדי לנסות בעצמך דברים אבל זה אם אתה משועמם חח


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
dvir8
חבר מתאריך 13.5.02
5929 הודעות		   00:31   21.11.12   
אל הפורום  
  3. תודה אני אקרא בנושא כשיהיה זמן  
בתגובה להודעה מספר 2
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
ufo  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 18.3.02
2725 הודעות, 2 פידבק, 4 נקודות		   15:30   24.11.12   
אל הפורום  
  4. דוגמא ברמה של HelloWorld:  
בתגובה להודעה מספר 0
 
   אתה מגדיר מערך בגודל 10 (של תווים למשל) שאליו אתה מכניס קלט מהמשתמש.
אם לא תבצע בדיקת תקינות של הקלט (שהוא בגודל המתאים , קטן מ-10) אז תביא לכך שהקלט שהוכנס ידרוס לך חלק מהזכרון.

בעיה זו נקראת Buffer Overflow.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
sharkk
חבר מתאריך 2.9.02
1306 הודעות, דרג אמינות חבר זה 		   00:51   04.12.12   
אל הפורום  
  5. לא צריך לחפש בשדות זרים, בעיית אבטחה באתר של גולן טלקום...  
בתגובה להודעה מספר 0
 
   http://chenreuven.wordpress.com/2012/05/17/%D7%91%D7%A2%D7%99%D7%99%D7%AA-%D7%90%D7%91%D7%98%D7%97%D7%94-%D7%91%D7%90%D7%AA%D7%A8-%D7%92%D7%95%D7%9C%D7%9F-%D7%98%D7%9C%D7%A7%D7%95%D7%9D/

עוד דבר אחד בקשר למה ש- Nesher רשם, אני מסכים איתו ב-100 אחוז.

איפה רוב פירצות האבטחה?? בהעברת מידע על גבי פרוטקולים מסוימים באמצעות שירותים מסוימים:
WS, HTTP, Sockets - WCF וכד' וכד'...

הכל עניין של לקחת מטא דטא שקיים מאחורי הקלעים ואם תוכנת סניפר או תוכנה אחרת אנו יכולים לקחת, להבין איך אפשר לפרוץ/לערבל את המידע שיעבוד לטובתנו, ואז להכיל איזה סקריפט או תוכנה קטנה שתבצע את הפירצת אבטחה.

אין לי נסיון בתחום הזה בכלל וזה תחום ששם המשחק בו הוא נסיון והבנה עמוקה מאוד גדולה של הפרוטוקלים וה- packets שעוברים ברשת.

יתר על כן כמובן שווילדציות ל- Input זה גם מקור לפרצות...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
dvir8
חבר מתאריך 13.5.02
5929 הודעות, דרג אמינות חבר זה 		   23:06   04.12.12   
אל הפורום  
  6. זאת אומרת שאתה חייב להזין לתעבורה שעוברת ברשת,  
בתגובה להודעה מספר 5
 
   אבל איך אתה יכול לעשות את זה?
פידלר זה לא בעיה לפתוח כשאתה על המחשב שלך איך אתה יכול להאזין למחשב מרוחק?


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net