Votação: Será uma classe php com interesse ?

ruicosta · 07-09-2010, 20:06

Boa tarde a todo(a)s,

Gostaria de lançar um desafio php a toda a comunidade e gostaria de receber feedback acerca do mesmo.

Gostaria de criar um site com apenas 2 paginas, uma publica e outra privada.

A pública teria apenas um formulário de login.

Em que consta o desafio? Forçar a entrada no login. Desta forma iríamos aprender técnicas de intrusão/protecção e detecção de ameaças.

Com o tempo, o código iria evoluir e seria publicado para que todos pudesse participar e partilhar os seus conhecimentos em prol de aplicações web melhores.

Que dizem?

kilho · 07-09-2010, 20:51

queres forçar entrada num site Wink

ruicosta

Sim, o meu site. Com isso aprendo e ensino a proteger um site.

Para que não haja dúvidas sobre o objectivo... o mesmo é:

Aprendizagem de técnicas de protecção contra ataques:

Sql injection;
Execução remota de ficheiros;
Format string vulnerabilities
Cross Site Scripting (XSS)
Username enumeration;
Session Hijacking

Entre outras técnicas. Desta forma será possível desenvolver melhores aplicações.

Agradeço opiniões.

crazyman · 08-09-2010, 10:22

desafio interessante Wink

mpmont · 10-09-2010, 00:09

parece-me bem =)

RaCcOn · 10-09-2010, 00:12

Se bem me lembro existe um website qualquer com vários niveis para se fazer algo do genero...

ruicosta · 10-09-2010, 10:08

Sim, passei por lá há uns anos, mas a ideia não será essa. A ideia é alem de tentar forçar a entrada, ir partilhando código, técnicas de intrusão e protecção do sistema.

Há medida que vão havendo ataques, haverá necessidade de se procurar medidas que contrariem esses ataques, e todo o código será publicado para análise.

brunomartins

eu tenho um ficheiro de texto que copiei de um fórum de como fazer injecção SQL (passado uns tempos desapareceu lol)...
é necessário saber programar em SQL.. mas não me estou a ver a partilhar esse tipo de info.. especialmente quando o meu prof. e coordenador de curso nos avisar para a partilha deste tipo de informações.. ele é que vai dar uns dos primeiros cursos de ethical hacking em portugal...

atenção a esse tipo de coisas, especialmente este fórum ser aberto ao publico, toda a gente vai ver o que aqui se passa.. eu sei que vocês usam para outros fins (testes de protecção), mas pode haver quem não o use para o mesmo fim..

ruicosta · 10-09-2010, 16:28

Certamente por haver alguém a pesquisar, analisar código e expor como se poderia invadir um login de um site, é que começaram a existir muitos mais sites com protecção contra esta técnica.

Se os programadores se dessem ao mínimo trabalho de investir tempo na aprendizagem em segurança web, quando iniciam a sua carreira, certamente hoje haveria uma percentagem muito pequena de sites desprotegidos.

Não terei qualquer problema em partilhar o código, pois irá obrigar muito preguiçoso a mexer os dedos para melhorar o seu site. eheh.

Bem, como já vi que há polémica e sem querer ferir susceptibilidades, vou avançar com o projecto. Dentro de dias darei novidades. Até lá se quiserem partilhar ideias, partilhem neste fórum.

Obrigado
Rui Costa

softclean

É interessante, sobretudo pelo lado da segurança mas, na minha opinião, é reinventar a roda, porque existem bastantes entidades críticas, que de certo já têm segurança a esse nível (pelo que percebi, a intenção é criar uma classe/script de login que seja segura contra todos os tipos de ataques).

Visto que estás mesmo destinado a avançar com o projecto, deixo-te uma checklist de pontos de segurança a verificar numa página web (para além dos que já deixaste aí):

http://joaopedropereira.com/blog/2010/04...heatsheet/

Espero que seja útil!

EDIT: também encontrei outra lista ontem, mas esqueci-me de a partilhar aqui: http://bit.ly/ag5M4c (pdf)

Votação: Será uma classe php com interesse ? Esta votação está encerrada.
Sim	5	83.33%
Não	1	16.67%
Desconheço	0	0%
Total	6 votos	100%