Jeg har nå omsider fått smakt en del på PHP og føler trang til å bruke det jeg har lært. Derfor har jeg sammen med noen kompiser lagt en plan for å bygge et bittelite nettverk à la nettby og de der. Brukerprofiler, bildegalleri og masse unyttige funksjoner som vi gjerne skulle sett hos de andre aktørene. Så før jeg gyver løs på dette prosjektet så bør jeg kanskje få mere informasjon om typiske sikkerhetshull.
Hvilke svakheter har for eksempel et filopplastingssystem (bortsett fra det opplagte)? Finnes det teknikker for å trikse med passordhasher som sendes fra forms til sjekking (MD5)? Hvordan stopper man bruteforce på en enkel måte?
Jeg har allerede lest om anti-bot-systemer, retrive-password-funksjoner og smått at man aldri skal la brukeren kunne endre viktige og uheldige variabler som han vil. Ang. sistenevnte: Finnes det noen injectionteknikker for å endre hidden-variabler i forms (jeg er usikker på om jeg tror at javascript kan fikse dette...)? Litt løst og ukonkret, men hvis noen jobber med sikkerhet og sånt på lignende sider (jeg vet at noen her på bruket står bak Nordic Mafia i alle fall) så har jeg veldig lyst til å få noen tips om slike opplagte exploits man legger igjen. Nå har jeg jo ikke tenkt å åpne dette prosjektet for andre enn folk jeg kjenner fra før, så for meg er det ikke noen stor krise om det blir tull. Dette er egentlig for læringen, øvingen og underholdningens del.
Hvilke svakheter har for eksempel et filopplastingssystem (bortsett fra det opplagte)? Finnes det teknikker for å trikse med passordhasher som sendes fra forms til sjekking (MD5)? Hvordan stopper man bruteforce på en enkel måte?
Jeg har allerede lest om anti-bot-systemer, retrive-password-funksjoner og smått at man aldri skal la brukeren kunne endre viktige og uheldige variabler som han vil. Ang. sistenevnte: Finnes det noen injectionteknikker for å endre hidden-variabler i forms (jeg er usikker på om jeg tror at javascript kan fikse dette...)? Litt løst og ukonkret, men hvis noen jobber med sikkerhet og sånt på lignende sider (jeg vet at noen her på bruket står bak Nordic Mafia i alle fall) så har jeg veldig lyst til å få noen tips om slike opplagte exploits man legger igjen. Nå har jeg jo ikke tenkt å åpne dette prosjektet for andre enn folk jeg kjenner fra før, så for meg er det ikke noen stor krise om det blir tull. Dette er egentlig for læringen, øvingen og underholdningens del.