Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - maw abi

Stran: [1]
1
Server / Útok na WordPress?
« kdy: 28. 03. 2020, 00:09:57 »
Ahoj.
Právě jsem z jiných důvodů procházel php log a našel tam zajímavý řádek:

Kód: [Vybrat]
[Fri Mar 27 23:00:06.214987 2020] [php7:error] [pid 7120] [client 78.45.125.133:58240] script '/... .../wp-cron.php' not found or unable to stat, referer: https://www.mujweb.cz/wp-cron.php?doing_wp_cron=1585350005.5323250293731689453125
Že by nějaký známý útok na wordpress? Tušíte o co se jedná?

2
Vývoj / Re:Bezpečná session v PHP
« kdy: 17. 03. 2020, 14:31:51 »
Díky za odpovědi.

Ještě dva dotazy.

- Je v nějakém frameworku pro PHP JWT použitelně zpracované?
(než jsem položil dotaz, sleduju že jsem nechtěně vyrobil bitvu... tzn buď nette nebo sympfony)

- Pokud bych se rozhodl nepoužívat framework, tak v php existuje funkce
password_hash(string $password , int $algo ...)
Ta zdá se umožní volit jak šifrovací algoritmus, tak přidat sůl. Je to ok? Nebo děláte hash jinak?

3
Vývoj / Re:Bezpečná session v PHP
« kdy: 17. 03. 2020, 13:29:19 »
Super. Díky za nápovědu.
Ještě se zeptám. Ošetřuje se nějak situaci kdy má klient vypnuté cookies? Jak se pak chová server? Na základě čeho ověří že se jedná o daného uživatele.

Když to shrnu do bodů
a) na serveru je stránka s logováním
b) uživatel načte stránku + zadá jméno a heslo
c) odešle formulář (pomocí post?)
d) na serveru z post získám jméno + heslo (nevím jestli je tohle bezpečné nebo už tady je něco špatně?). Heslo se nějak musí dostat z formuláře klienta na můj server. Nevím jak je toto bezpečné.
e) na serveru ověřím uživatele a pokud je ok, pošlu mu sessionid (náhodně generované kvůli únosu a nebo sekvenčně pokud použiju jwt)
f) klient má id uložené v cookie? a při každém dotazu jej z cookie načte a pošle mi jej?


Pokud bych se vykašlal na cookie můžu mít to id uložené jen někde v paměti ? Nepotřebuju aby session zůstávala třeba 10 hod aktivní. Nedělám eshop, takže pokud uživatel zavře tab a otevře jiný nový, klidně jej donutím znova se přihlásit. Nebude to zas až tak častá aktivita (předpokládám).

Taky jsem četl, že pro bezpečnější web je dobré u kritických operací sessionid zahodit, vygenerovat nové a nechat uživatele znova ověřit (pro jistotu, aby bylo jisté že se nejedná o podvrh). Takže pokud bych narazil na jějakou kritickou část (například změna hesla), můžu to klidně udlěat i takto.

4
Vývoj / Bezpečná session v PHP
« kdy: 16. 03. 2020, 23:51:06 »
Ahoj.
Chystám se napsat webík v php do kterého se budou přihlašovat uživatelé. Chci se zeptat jak udělat bezpečně logování a obecně správu uživatelské session.
Upřímně jsem v tom nový, takže možná někde plácnu nějakou pitomost nicméně.
a) je bezpečné používat php sessions? Nebo už se používá něco jiného?
b) nechci moc používat "jakési" nadstavby a frameworky, bojím se jich - že přestanou být podporovány, zaniknou a já to pak budu muset celé předělávat. Takže ideálně používat jen čisté php.
c) jak je to s https? Kdesi jsem četl (ale už nemůžu najít) že je lepší místo sessions používat rovnou https a pak vše včetně hesla posílat šifrovaně a session neřešit.

Takže jsem v pasti :-)

Dík za nakopnutí. Pokud by jste mne odkázali na nějaký relativně aktuální jednoduchý postup či příklad jak na to, byl bych moc rád. (A nebo na něco starého s tím, že je to stále aktuální a bezpečný postup :-) )

PS: Jde mi fakt jen o nastínění základů - jak udělat sesion či jak si pak zřídit přes let's encrypt certifikát už si pořeším sám. Jde o to, poradit mi v pár základních bodech jak správně udělat bezpečný web s přihlašováním uživatelů.

5
Odkladiště / Re:Sken všech veřejných domén
« kdy: 13. 02. 2020, 12:28:06 »
Chtělo by to zmodernizovat GUI :-)

Jinak, jestli se chceš přidat do klubu lidí, co mají lepší vyhledávač než google, tak bych doporučoval navštívit https://hlodac.cz/

6
Odkladiště / Re:Sken všech veřejných domén
« kdy: 13. 02. 2020, 10:03:45 »
To taky není špatný nápad :-). Díky za tip.

A začít můžeš třeba s https://github.com/spaze/domains
Certificate Transparency je dnes asi nejlepší zdroj. Každý rozumný web má dnes HTTPS.

7
Odkladiště / Re:Sken všech veřejných domén
« kdy: 13. 02. 2020, 09:57:10 »
Balakářku nedělám, snifovat nechci. Chci opravdu zkusit udělat něco podobného jako dělá google, akorát trochu jinak. Chci otestovat s jakým výsledkem, jestli to bude vůbec použitelné.
Google je skvělý když hledám něco a pořádně "nevím co". Například co je to "exosféra". Když ale hledám "kominictví polanka", vypadnou z toho samé nesmysly. Nakonec se k tomu co potřebuju nějak prokoušu, ale z každých 100 odkazů je 95% odpad.
Takže chci zkusit znidexovat český web jinak a ověřit jestli je to použitelné nebo ne.

Bohužel, než jsem odeslal rozsáhlý popis s odpovědí, vyexpirovala mi session. Vše ztraceno. Takže se zeptám stručně, chceš dělat něco jako google (veřejně dostupné věci, ke kterým vede hyperlink) nebo chceš sniffovat?

Chceš psát bakalářku nebo objevit jak věci fungují?

8
Odkladiště / Re:Sken všech veřejných domén
« kdy: 12. 02. 2020, 22:11:55 »
Hm... Zajímavý odkaz. Super. Díky.

pokud by slo jen o cesky web, tak bych zkusil vzit seznam ceskych slov, serazenych podle delky
a zkousel zda dotaz na takovou domenu neco vrati. a pokud vrati tak v odpovedi prohledavat odkazy.

https://gpsfreemaps.net/navody/security/komplexni-cesky-a-slovensky-wordlist-ke-stazeni

9
Odkladiště / Re:Sken všech veřejných domén
« kdy: 12. 02. 2020, 21:54:28 »
Díky za odpověďi. Tajně jsem doufal že kamsi pisu dotaz který mi vrátí n webů seřazených od a do z.
Toto je opravdu nepěkný postup, ale tak nějak jsem to tušil :).

PS: Je to nějaké tajemství za které budu viset? Pokud takovýto seznam bez dalších podrobností dodám? Předpokládám že je to ok, tedy nikdo nemůže nic namítat. Samozřejmě že seznam nikde neukradnu, tzn zveřejním to, co se mi podaří posbírat.

10
Odkladiště / Sken všech veřejných domén
« kdy: 12. 02. 2020, 20:49:02 »
Ahoj.
Řekněme že bych chtěl udělat něco jako google. Tzn. proskenovat všechny dostupné domény a částečně zindexovat jejich obsah...
Jak získám nějaký úvodní seznam všech veřejných domén kterými bych mohl začít?

Je mi jasné, že (velmi zjednodušeně)
a) můžu začít 0.0.0.0 a skončit 255.255.255.255. Tento postup ale u IPv6 není reálný, takže za pár let bude naprosto nepoužitelný.
b) Předpokládám že CZ.NIC žádný seznam veřejných domén neposkytuje, a náhodně generovat jedno jméno za druhým a testovat zda existuje či ne je samozřejmě taky blbost.

c) Najít si pár nejnavštěvovanějších stránek, skenovat jejich obsah a pokračovat na všechny možné odkazy které najdu je sice asi taky cesta, ale opět strašně krkolomná a nevedoucí k cíli.

Tušíte jak postupovat? Poskytují jednotlivé národní domény nějaké veřejné seznamy použitých domén? Nebo se to musí kupovat, nebo se nato jde jinak?

Díky za info.

Stran: [1]