Průzkum před útokem

VaclavMacurek · 2010-10-30 13:04:07

Vestavěné počítadlo příspěvků mi odhalilo dva průzkumy před útokem, možná i neúspěšný útok na prezentaci http://amavetmost.4fan.cz. Stalo se to třetího a osmého října tohoto roku (asi celkem zbytečná informace, že tohoto roku, tedy 2010, když prezentace byla založena teprve loni v prosinci).

Více informací v téma [PHP] Robot? na foru Živě.cz.

To jen tak pro informaci o jednom z (pravděpodobně) mnoha pokusů o útok na Endoru. Ale tím pachatelem jsem samozřejmě nebyl já sám - ledaže bych se rozhodl pro poněkud radikální test odolnosti. Jenže nejsem tak zručný programátor, abych toho byol schopen.

Lkopo · 2010-10-30 14:31:26

Robotom sa človek neubráni; je možné ich zastaviť javascriptom (vyplnením nejakého poľa, ktorý potom PHP formulár zistí, že je to robot a tak to ignoruje alebo upozorní správcu). Ak nezabudnite si ochrániť prezentáciu proti SQL Injection.

JF · 2010-10-30 14:37:30

Prípadne si naštuduj http://www.jakpsatweb.cz/robots-txt.html a zabráň robotom prístup na prezeranie tvojho webu. Každý robot by sa mal riadiť určitými štandardami.

VaclavMacurek · 2010-10-30 20:01:40

Používám meta tag robotů. Ten samozřejmě asi moc účinný není. Soubor robots.txt jsem jen upravil z výpisu adresářů na zákaz všech. A používám i .htaccess. A pokud jde o obranu před SQL útokem, tam používám tuhle funkci

function Zneskodnit($Zadano)
{
	global $Spojeni;
	if (ini_get('magic_quotes_gpc'))
	{
		$Zadano = stripslashes($Zadano);
	}
	return mysql_real_escape_string(trim($Zadano), $Spojeni);
}

Je vypůjčená z knížky PHP a MySQL Názorný průvodce tvorbou dynamických WWW stránek.

Nepochybuji o tom, že by se ještě nějaké opatření dalo vymyslet. Ale jako první linie obrany to snad stačí.

Lkopo · 2010-10-30 20:03:49

kam presne roboti utocia?

tá funkcia je dobrá, aj keď magic_quotes bol zavrhnutý tak používam len mysql_real_escape_string; taktiež ak máte nejaký formulár vytvorte si ďalší INPUT (napr. input radio - som robot)a pomocou Javascriptu (document write) nastavte to radio na disabled - true.

Ak si neviete rady čo mám na mysli tak túto máte vysvetlené:

<form name="formular" action="spracuj-spam.php" method="post">
<!-- ... !> 
<input type="radio" name="ROBOT" value="1" disabled="false" checked="true" /> Som robot?
<input type="submit" name="odoslat" value="Odošli" />
</form>
<script type="text/javascript">
  document.formular.ROBOT.disabled=true;
  docement.formular.ROBOT.checked=false;
</script>

Malo by to fungovať, ale netestoval som; najprv zistíte či je radio robot nezaškrtnuté a vypnuté; potom vypnite v nastaveniach JavaScript a zistíte či je teraz zapnuté a zaškrtnuté radio robot. Teraz prejdime na spracovanie:

// ... php kód
if($_POST["ROBOT"])
{
// sem napíšete kód ktorý spracuje robota (napr. presmeruje naspäť:)
// header("Location: index.php");
}
// ...
?>

VaclavMacurek · 2010-10-30 21:22:40

Lkopo napsal:

kam presne roboti utocia?

Roboti útočí na formuláře.

tá funkcia je dobrá, aj keď magic_quotes bol zavrhnutý tak používam len mysql_real_escape_string

O tom zavržení (alespoň doufám, že se v slovenštině význam neliší od významu v češtině) tedy čtu poprvé.
-->
Tak jo... od PHP 5.3.0.

Ovšem pokud tomu rozumím dobře, tak by ta funkce měla fungovat stále - vždyť jenom detekuje zapnuté magic_quotes a pokud zapnuté jsou, tak jen odstraní již vložená zpětná lomítka. A mimochodem, k tomu jsem si ještě z Texyly stáhnul podobnou funkci - která rovněž vypnutím magic_quotes poněkud ztrácí význam

function OdstraneniZpetnychLomitek()
{
	if(	get_magic_quotes_gpc()	)
	{
		$Prenos = array(&$_GET, &$_POST, &$_COOKIE, &$_REQUEST, &$_FILES);
		while (list($NazevSkupiny, $RozmerSkupiny) = each($Prenos))
		{
			foreach ($RozmerSkupiny as $Nazev => $Hodnota)
			{
				unset($Prenos[$NazevSkupiny][$Hodnota]);
				if(	is_array($Nazev)	)
				{
					$Prenos[$NazevSkupiny][($NazevSkupiny < 5 ? $Nazev : stripslashes($Nazev))] = $Hodnota;
					$Prenos[] =& $Prenos[$NazevSkupiny][($NazevSkupiny < 5 ? $Nazev : stripslashes($Nazev))];
				}
				else
				{
					$Prenos[$NazevSkupiny][stripslashes($Nazev)] = stripslashes($Hodnota);
				}
			}
		}
	}
}

Lkopo · 2010-10-31 12:42:06

radšej použijte tu prvú funkciu. Skúste to čo som Vám napísal (to cez JavaScript)

VaclavMacurek · 2010-10-31 14:49:34

Vždyť tato druhá dělá v podstatě to samé co se děje v té podmínce první funkce. Také jí mám zařazenou před použitím té první funkce. Co se týká té záležitosti s JavaScriptem, asi je to jednodušší Captcha a podobné ověřovací mechanismy s obrázky.

Lkopo · 2010-10-31 14:52:53

tá druhá funkcia nerobí nič pretože všetky príkazy sú len v podmienke ak je funkcia get_magic_quotes_gpc

VaclavMacurek · 2010-10-31 17:42:23

To je v pořádku. Podmínka ve funkci Zneskodnit také způsobuje, že už se ten příkaz v podmínce neprovede.

#1 2010-10-30 13:04:07

Re: Průzkum před útokem

#2 2010-10-30 14:31:26

Re: Průzkum před útokem

#3 2010-10-30 14:37:30

Re: Průzkum před útokem

#4 2010-10-30 20:01:40

Re: Průzkum před útokem

#5 2010-10-30 20:03:49

Re: Průzkum před útokem

#6 2010-10-30 21:22:40

Re: Průzkum před útokem

#7 2010-10-31 12:42:06

Re: Průzkum před útokem

#8 2010-10-31 14:49:34

Re: Průzkum před útokem

#9 2010-10-31 14:52:53

Re: Průzkum před útokem

#10 2010-10-31 17:42:23

Re: Průzkum před útokem

Zápatí