موارد امنیتی [بایگانی]

under22

پنج شنبه 01 اسفند 1392, 17:34 عصر

سلام دوستان
من یک سایت با YII دارم ولی نمیدونم برای جلوگیری از هک شدن با انواع حملات مثله sql injection,csrf,xss,shell,.... چه تغییراتی باید تو کد های سایت بدم . داخل فریمورک ci برای جلوگیری از این حملات داخل کانفیگ فریمورک میرفتی و برای جلوگیری از هز از حملات مقدار یک آرایه را true میکردی و خوده فریمورک همه کار ها رو انجام میداد.
میخاستم ببین در Yii چگونه است

afshin9032

پنج شنبه 01 اسفند 1392, 18:57 عصر

http://www.yiiframework.com/doc/guide/1.1/en/topics.security

under22

پنج شنبه 01 اسفند 1392, 19:57 عصر

دوست عزیز من از این صفحه فقط نحوه استفاده از از کامپونت برای جلوگیری از حملات csrf ر فهمیدم ! . اگه میشه اون دوتا دیگر رو توضیح بدهید . در ضمن Yii برای جلوگیری از حملات همین سه روش رو دارد ؟؟

rezaonline.net

پنج شنبه 01 اسفند 1392, 23:02 عصر

sqlinjection که چون از PDO استفاده میکنه پس حله .
xss هم کافیه وقتی متنی رو چاپ میکنید بصورت
echo CHtml::encode($content); چاپ کنید .
csrf هم که فقط کافیه توی تنظیمات ست کنید چک بشه یا خیر خودش خودکار توی فرم ها میسازه .
منظورتون از shell رو نفهمیدم ، اگر منظورتون آپلود شل هست که باید بگم این مساله بیشتر مربوط به برنامه نویس هست .

jafaripur

جمعه 02 اسفند 1392, 12:58 عصر

حملاتی مثل shell مربوط به سرور هستش.
و شما برای جلوگیری از این حملات فایل های آپلودی رو باید چک کنید که PHP نباشه.
اگر سرور تنظیماتش درست نباشه و یک فایل عکس فرستاده شه توش دستورات PHP هم نوشته شده باشه می تونه مشکل به وجود بیاره .
شما خودتون باید تنظیمات رو جوری کنید که فقط فایل های با پسوند PHP قابل اجرا باشن برای سرور برای درخواست و بقیه فایل ها عین HTML به سمت کاربر فرستاده بشه.

MMSHFE

جمعه 02 اسفند 1392, 21:14 عصر

برای جلوگیری از آپلود شل مهمترین کار اینه که جلوی پسوندهای چندگانه رو توی اسامی فایلها بگیرین (مثلاً بجز . آخر بقیه رو به - تغییر بدین). مورد بعدی اینکه PHP نباید بصورت mod_php (یعنی ماژول Apache) نصب شده باشه و FastCGI و... توصیه میشن. مورد بعدی هم اینکه Permission اجرا رو از پوشه آپلود بردارین. هیچکدوم از این موارد هم به Yii ربطی نداره.