+- Forum Pplware (http://forum.pplware.com)
+-- Fórum: Mais Tech (/forumdisplay.php?fid=11)
+--- Fórum: Programação e Web (/forumdisplay.php?fid=16)
+--- Tópico: Tecnicas de intrusão (/showthread.php?tid=7069)
Páginas: 1 2
Tecnicas de intrusão - ruicosta - 07-09-2010 20:06
Boa tarde a todo(a)s,
Gostaria de lançar um desafio php a toda a comunidade e gostaria de receber feedback acerca do mesmo.
Gostaria de criar um site com apenas 2 paginas, uma publica e outra privada.
A pública teria apenas um formulário de login.
Em que consta o desafio? Forçar a entrada no login. Desta forma iríamos aprender técnicas de intrusão/protecção e detecção de ameaças.
Com o tempo, o código iria evoluir e seria publicado para que todos pudesse participar e partilhar os seus conhecimentos em prol de aplicações web melhores.
Que dizem?
RE: Tecnicas de intrusão - kilho - 07-09-2010 20:51
queres forçar entrada num site
RE: Tecnicas de intrusão - ruicosta - 07-09-2010 22:18
Sim, o meu site. Com isso aprendo e ensino a proteger um site.
Para que não haja dúvidas sobre o objectivo... o mesmo é:
Aprendizagem de técnicas de protecção contra ataques:
Sql injection;
Execução remota de ficheiros;
Format string vulnerabilities
Cross Site Scripting (XSS)
Username enumeration;
Session Hijacking
Entre outras técnicas. Desta forma será possível desenvolver melhores aplicações.
Agradeço opiniões.
RE: Tecnicas de intrusão - crazyman - 08-09-2010 10:22
desafio interessante
RE: Tecnicas de intrusão - mpmont - 10-09-2010 00:09
parece-me bem =)
RE: Tecnicas de intrusão - RaCcOn - 10-09-2010 00:12
Se bem me lembro existe um website qualquer com vários niveis para se fazer algo do genero...
RE: Tecnicas de intrusão - ruicosta - 10-09-2010 10:08
Sim, passei por lá há uns anos, mas a ideia não será essa. A ideia é alem de tentar forçar a entrada, ir partilhando código, técnicas de intrusão e protecção do sistema.
Há medida que vão havendo ataques, haverá necessidade de se procurar medidas que contrariem esses ataques, e todo o código será publicado para análise.
RE: Tecnicas de intrusão - brunomartins - 10-09-2010 10:15
eu tenho um ficheiro de texto que copiei de um fórum de como fazer injecção SQL (passado uns tempos desapareceu lol)...
é necessário saber programar em SQL.. mas não me estou a ver a partilhar esse tipo de info.. especialmente quando o meu prof. e coordenador de curso nos avisar para a partilha deste tipo de informações.. ele é que vai dar uns dos primeiros cursos de ethical hacking em portugal...
atenção a esse tipo de coisas, especialmente este fórum ser aberto ao publico, toda a gente vai ver o que aqui se passa.. eu sei que vocês usam para outros fins (testes de protecção), mas pode haver quem não o use para o mesmo fim..
RE: Tecnicas de intrusão - ruicosta - 10-09-2010 16:28
Certamente por haver alguém a pesquisar, analisar código e expor como se poderia invadir um login de um site, é que começaram a existir muitos mais sites com protecção contra esta técnica.
Se os programadores se dessem ao mínimo trabalho de investir tempo na aprendizagem em segurança web, quando iniciam a sua carreira, certamente hoje haveria uma percentagem muito pequena de sites desprotegidos.
Não terei qualquer problema em partilhar o código, pois irá obrigar muito preguiçoso a mexer os dedos para melhorar o seu site. eheh.
Bem, como já vi que há polémica e sem querer ferir susceptibilidades, vou avançar com o projecto. Dentro de dias darei novidades. Até lá se quiserem partilhar ideias, partilhem neste fórum.
Obrigado
Rui Costa
RE: Tecnicas de intrusão - softclean - 10-09-2010 17:36
É interessante, sobretudo pelo lado da segurança mas, na minha opinião, é reinventar a roda, porque existem bastantes entidades críticas, que de certo já têm segurança a esse nível (pelo que percebi, a intenção é criar uma classe/script de login que seja segura contra todos os tipos de ataques).
Visto que estás mesmo destinado a avançar com o projecto, deixo-te uma checklist de pontos de segurança a verificar numa página web (para além dos que já deixaste aí):
http://joaopedropereira.com/blog/2010/04/18/php-security-check-list-cheatsheet/
Espero que seja útil!
EDIT: também encontrei outra lista ontem, mas esqueci-me de a partilhar aqui: http://bit.ly/ag5M4c (pdf)