Miért nyomja nekem a weblapkészítő ennyire ezt a biztonság témát?

Ha free CMS -ből pakolják össze ami jóval olcsóbb, rendszeres (legalább havi) karbantartás nélkül tényleg önveszélyes.

Viszont sok esetben az egyedi fejlesztésű még veszélyesebb!

Én is napi szinten találkozom több olyan ügyfélél akinek feltörték az oldalát, és azért keres meg, hogy helyre hozzam a kárt, mert a fejlesztő pl. a legutóbb ennyit mondott neki:

"Nem tudok mit kezdeni vele, törüljük le és rakjuk újra..." (2000 termékkel)

Mint kiderült pár karakter miatt, amivel orvosolni lehetett a problémát.

Többnyire olyan oldalt törnek fel, aminek van forgalma, ami látogatott.

De bot -ok, simán beparaméterezik a keveset böngészett weblapot is.

Illetve néha a konkurencia aki kivitelez(tet)i az ilyent, célzott támadás formájában.

Nekem szerencsére 6 éve nem törtek fel általam készített oldalt, és akkor is külső appon keresztül történt. (TinyBrowser)

Egyetértek, mindenképpen fontos az IT biztonság, manapság is, 2015-ben, nevetségesen könnyű pár oldalra a bejutás.

Most is találkozom 1-1 olyan megoldással, ami szánalmasan rossz és 10+ éve kb ugyan azok a rések vannak a legtöbb oldalban.

A veszély pedig reális, ha nagyon béna a fejlesztő, akkor még a neten hemzsegő automata hibakereső robotok is be tudnak jutni. Ha egyedi a fejlesztés, akkor is, gyakran megesik.

Ez pedig pl egy webshopnál, ahol felhasználói adatok vannak, ne adj isten (remélem ilyen nem lesz), fizetési adatok, pl kártya adatok, ott különösen oda kell(ene) figyelni.

Én unalmamban 1-2 oldalon (amit használok azokon mindig!) rá szoktam csekkolni pár teljesen triviális, ősrégi hibára.

Adjunk csak be mondjuk a keresőbe egy aposztrofot, vagy ugyan ezt az URL-ben az ID-be.

Ha köpi ki a szerver az SQL hibát, máris hagyom ott az egészet.

Volt, ahol találtam ilyet, kidumpoltam a teljes db-t rajta keresztül, ahol a jelszavak, base64-ben voltak...

Most őszintén, mennyi volt megtudni minden user jelszavát innentől szerintetek?

Pár másodperc és szerinted hány user használja ugyan azt a jelszót több helyen?

Segítek, nagyon sok, ha pedig pl az e-mail címűkhöz hozzáférsz, onnantól BÁRMIHEZ hozzáférsz, akár PayPal adatokhoz, facebookhoz, amihez akarsz.

Máshol volt, ahol a user adatok egy JSON-ban jöttek a szervertől, a fejlesztő lusta volta, valószínűleg ORM-et használt és MINDEN adatot visszalökött a keresőben.

A felhasználók elvileg privát e-mail címét, sőt még a jelszó md5 hash-t.

Itt csak próba képpen 10 user md5 hash-et megnéztem egy online adatbázisban 4 benne volt...

Garantálom, hogy legalább 2-nek ezzel a mail jelszava is megvolt.

Szóval IGEN, FONTOS az IT biztonság és NAGYON is valós veszély, hogy feltörik.

Annyi sok automatizált eszköz van, egy 5 éves gyerek is meg tud találni 1-2 nagyobb rést akár.

#7: Tudnák mesélni pár igen csak kiakasztó biztonsági résről.

Csak a 2 legdurvábbat emelném ki webshopból, amit ugyan azon oldal tartalmazott.

Mivel SQL injectionnal bármit lelehetett kérni az oldalról, más felhasználó adatokat is így pl. email és jelszó páros, ahol utóbbi bármi titkosítás nélkül van tárolva.

És mivel felhasználok nem szeretnek tucatnyi jelszót, így ugyan azt használják, email címükhöz, paypal fiókhoz...

A másik nem az user hanem a shopra volt káros, ugyan is POST -ba ott volt a paypal fizetés sikeres tranzakció lezárására szolgáló URL.

Azaz ha monitoroztuk a http forgalmat, könnyen kiolvasható volt belőle milyen URL -t kell meghívni, hogy elhitessük a rendszerrel hogy fizetve, mert ugye vissza kérni a tranzakciót PHP szinten luxus. :-D

És ezt kihasználva ügyes hackerek, nem csak az üzemeltetőt, de még annak ügyfeleit is megrövidíthetik ha nem figyelnek.

Azért nyomja, mert elég kulcsfontosságú téma.

Ez olyan, mintha azt kérdeznéd, hogy amikor ajtót rakatsz be a házadba, miért nyomják, hogy biztonságos ajtó kell.

Csak a web kicsit más, ott sokkal több veszély leselkedik.