• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

elcsat

segurança php

16 mensagens neste tópico

que cuidados e que se deve ter ao criar uma pagina de admistrador num site, em php.

em que trabalha com bases de dados mysql, para gerir users, e as contas dos usuarios

e facil criar um admistrador, mas e dificil ter os cuidados necessarios por isso vinha pedir dicas,

uma dica de segurança que me lembrei foi bloquear os ip ,da acesso nessa pagina so a um endereço de ip que e o do admistrador

queria dicas assim ideias, sugestoes.... :wallbash:

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

uma dica de segurança que me lembrei foi bloquear os ip ,da acesso nessa pagina so a um endereço de ip que e o do admistrador

queria dicas assim ideias, sugestoes.... :wallbash:

Tens que ver que a maioria das pessoas tem IPs dinâmicos. E já agora não são só contas de administradores que precisam de protecção todas devem ter o máximo que lhes puderes dar.

Uma coisa contra a qual te deves proteger é SQL injection.

Podes ver mais coisas aqui

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

sim e o resto tambem sei que tem, mas a de admistrador quero mais, eu sei que os ip´s sao dinamicos mas posso usar para o admistrador por exemplo so aceitar ips

192.168.0.X

em que o x vai de 0 a 255:) logo apanha o ip do admistrador

:P mas aceito ideias e sugestoes e agradeço pelas respostas

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mas estás a falar dentro de uma rede privada?

Para ser 192.168.0.x

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

o meu serviço de internet e acabovisao, o ip mudaé dinamico, se se tratasse de um ip estatio autorizava so o meu e bloequava os outros tdos nessa pagina do admistrador, como e dinamico o meu ip de casa, eu vou bloquear tdos os que estao fora da minha rede, nao é  eficaz a 100% mas ja ajuda alguma coisa, ja diminuir muito alista.

mas tens sugestoes??

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

o meu serviço de internet e acabovisao, o ip mudaé dinamico, se se tratasse de um ip estatio autorizava so o meu e bloequava os outros tdos nessa pagina do admistrador, como e dinamico o meu ip de casa, eu vou bloquear tdos os que estao fora da minha rede, nao é  eficaz a 100% mas ja ajuda alguma coisa, ja diminuir muito alista.

mas tens sugestoes??

Parece-me tar aí uma grande confusão .. Se não tens ip estático, nem tu conseguirias aceder ao site de limitasses os ips dessa forma ..

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

sim mas posso autorizar uma gama de ips

192.168.63.X

em que o X vai de 0 a 255

logo o meu ip encontra-se sempre num desses valores, acho que resulta

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

192.168.63.X

Nunca vais obter um endereço deste tipo na Internet.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

o x eu dei por exemplo e dize um ip que podia ta nessa gama de ips,

eu sei qua ips e que eu uso para aceder a internet

ou tou errado

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não tenho grande experiencia de redes, mas 192.168. seja-o-que-for é virado para intranet .. por isso é que disse que me parecia uma confusão .. mas pergunta a algum expert de redes :confused:

Outra coisa é, se tiveres o site fora da rede, ao lhe acederes ele nunca te fica com o IP de rede, porque tu acedes com o IP do ISP ..

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não tenho grande experiencia de redes, mas 192.168. seja-o-que-for é virado para intranet .. por isso é que disse que me parecia uma confusão .. mas pergunta a algum expert de redes :confused:

Outra coisa é, se tiveres o site fora da rede, ao lhe acederes ele nunca te fica com o IP de rede, porque tu acedes com o IP do ISP ..

Correctíssimo, por isso é que fiquei espantado com o IP.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
uma dica de segurança que me lembrei foi bloquear os ip ,da acesso nessa pagina so a um endereço de ip que e o do admistrador

Como já foi dito, muitas pessoas têm IPs dinâmicos (é raro o ISP hoje em dia que tem IPs estáticos).

192.168.0.xxx é um IP que nunca vai existir na internet, porque como já foi dito, esse tipo de IP é usado em intranets (redes privadas e isso).

Existem 3 classes de IPs, usando um servidor DHCP, que têm uma range dedicada a intranet, na classe A são dedicados a seguinte range a intranet (salvo erro, está lá perto) 10.0.0.0 a 10.255.255.255, a classe B vai de 172.16.0.1 a 172.31.255.254 e finalizando, a classe C dedica os IPs 192.168.0.0 a 192.168.255.255 a intranet, por isso como podes ver, esse IP que deste por exemplo, encontra-se na classe C, na range dedicada à intranet.

Tendo isso explicado, recomendo-te que vás ler um bocado sobre redes.

Se quisesses mesmo eficientemente bloquear alguém, terias de o fazer obtendo o MAC Address do router ou da placa dessa pessoa e bloqueando-o, no entanto isso verifica-se quase impossível porque pela altura que os pacotes chegam ao servidor, já não terás acesso ao MAC Address, mas só ao IP (Existem formas de resolver isso, mas que revelam-se às vezes pouco eficientes, e que requerem alguma experiência (corrijam-me se estiver errado though :) )).

Para segurança na web (e sim, como o anolsi disse, não dediques só o teu tempo a trabalhar na segurança do administrador, principalmente porque quando crias um website tens um público-alvo, e esse público espera o melhor de ti), deves ler o Post criado pelo djthyrax ("Vulnerabilidades em aplicações web") para obteres uma base pequena.

No entanto, vou dar-te alguns tópicos sobre os quais deves pesquisar e aplicar solidamente (inclusive os mencionados no post do djthyrax):

- SQL Injection.

- Insecure Direct Object Reference.

- Falhas XSS e CSRF.

- Normalização de dados.

- Tem uma leitura sólida sobre o uso devido de sessões e cookies.

- TSL/SSL.

- Criptografia Informática.

- Segurança com os métodos POST e GET. (Especialmente, verificação de dados)

- Estruturação de dados.

E já agora, não te fazia mal leres um bocado sobre Análise de Sistemas e SQL. :)

Cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

E já agora, não te fazia mal leres um bocado sobre Análise de Sistemas e SQL.

amigo The Loser  podes fornecer alguns manuais ou da-me links???

eu por acaso tenho vindo acompanhar esse topico de que falaste do djthyrax

obrigada pelo esclarecimento

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

amigo The Loser  podes fornecer alguns manuais ou da-me links???

Tens aqui isto, que são os documentos que guardei há uns tempos atrás para referência, da Escola Secundária Cacilhas-Tejo (que frequentei), na disciplina de Técnicas de Gestão de Bases de Dados, cobrem o básico sobre Análise de Sistemas.. Agora já nem os vejo porque arranjei documentação melhor, mas só tenho isto em formato digital.

Quanto a SQL, podes comprar o "SQL", de Luís Damas que é muito bom, ou podes ver este site ou este.

Cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora