date un'occhiata qui
Da un controllo piuttosto sommario mi risulta che non siano stati inseriti i doverosi controlli per la validazione dei dati di input nel form registrazione utenti.
Perchè?
Ho visto che i campi sono protetti all'interno dei tep files che "preparano" i dati da girare al db, però se provo a registrarmi digitando caratteri potenzialmente pericolosi, come $, /, <, >, % la registrazione avviene con successo...
Certo non basta un js nella pagina di registrazione, se un marmocchio sa giocare con l'url di un sito sviluppato su osC sono volatili per diabetici...
Aspetto conferme, esperienze e problemi riscontrati, intanto mi documento ulteriormente... forse sarò paranoico, ma mi sembra una questione fondamentale da affrontare
Sicurezza
Moderatore: mod Generali
-
queengraph
- membro Baby
- Messaggi: 62
- Iscritto il: 28/04/2004, 0:00
- Località: Novara
- Contatta:
...
il discorso "sicurezza" è stato considerato nella MS3. Quindi, a patto di attendere qualche mese, le sql injection non saranno più possibili su quei websites che utilizzeranno stripslashes e rimozione di caratteri potenzialmente pericolosi (+ accorgimenti vari nelle personalizzazioni apportate), quindi basta scrivere php well formed e prendere le dovute precauzioni che un coder dovrebbe conoscere.
Alla versione attuale (ci tengo a precisare: la versione standard) restano dei seri problemi, certamente la sicurezza non è preclusa nel 90% dei casi, ma un utente "smaliziato" con competenze di php potrebbe rompere le scatole piuttosto facilmente. E' anche vero che, mediante i files di log, è possibile risalire all'autore del misfatto, quindi...
Le password sono comunque criptate in MD5...
Alla versione attuale (ci tengo a precisare: la versione standard) restano dei seri problemi, certamente la sicurezza non è preclusa nel 90% dei casi, ma un utente "smaliziato" con competenze di php potrebbe rompere le scatole piuttosto facilmente. E' anche vero che, mediante i files di log, è possibile risalire all'autore del misfatto, quindi...
Le password sono comunque criptate in MD5...
Re: Sicurezza
A me il link sopra non funziona ...neeo ha scritto:date un'occhiata qui
L'argomento interessa molto anche a me.
In passato postai in questo post alcune considerazioni e perplessità circa l'intrusione su pagine accessibili solo da utenti loggati.
Il problema per la cronaca non è cessato ... mi ritrovo l'ip di Microsoft come "guest" in pagine riservate a utenti registrati.
Torno sull'argomento .. mi piacerebbe che anche Microsoft si muovesse solo dove gli è consentito
-
queengraph
- membro Baby
- Messaggi: 62
- Iscritto il: 28/04/2004, 0:00
- Località: Novara
- Contatta:
...
il link sopra non funziona perchè oscommerce.com ha cambiato, nel frattempo, URL e applicativo per gestire le discussioni (sono passati da phpBB a invision powerboard).
Sull'ip di microsoft ho qualche perplessità sinceramente...
Sull'ip di microsoft ho qualche perplessità sinceramente...
Re: ...
A chi lo dici ...queengraph ha scritto: Sull'ip di microsoft ho qualche perplessità sinceramente...
1) strano che arrivi nel mio sito
2) perchè loro e solo loro possono permettersi di arrivare in pagine irraggiungibili da un Guest!