Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Micilini Roll

Como é, ser hackeado no PHP?

Recommended Posts

Fair enough, Evandro, analisando por esse lado, ajuda. Mas não muito.

 

A verdade é a seguinte: faça o melhor que for possível dentro dos seus conhecimentos e do tempo disponível. Se o seu site não for muito popular, não será muito visado.

 

Evite os problemas clássicos, que já têm soluções conhecidas, deixe rolar. Por segurança, é bom fazer um backup do sistema de tempos em tempos.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faz o mesmo sentido de usar um bom sistema de criptografia. O SHA1 é seguro, mas o bcrypt é mais, pois é mais difícil de quebrar e assim vai.

 

Quanto mais difícil for para o invasor, menor a chance de ele invadir.

Compartilhar este post


Link para o post
Compartilhar em outros sites

"Security" through obscurity não detêm ninguém, no máximo fará o atacante demorar um pouco mais explorando brechas. Além disso, não se deve presumir que o hacker irá manualmente explorar a aplicação em busca de vulnerabilidades, na verdade ele usará um script para automatizar o processo, script este que já prevê todas as vulnerabilidades conhecidas do servidor e da linguagem de programação desde as versões obsoletas até as mais recentes.

 

A primeira coisa que ele fará é usar o httprint para detectar o servidor e a versão, se for Apache, ele apostará que a aplicação foi escrita em PHP e usurá outra ferramenta para detectar a versão do PHP, se for IIS, apostará que é ASP.Net. Depois usará o Burp para fazer uma sondagem básica, e depois de analisar os dados colhidos, começará a preparar um script de ataque. Portanto é bom usar essas mesmas ferramentas para detectar vulnerabilidades. Se não puder pagar pelo Burp, use ao menos o WebScarab.



Mais segurança é bom. Mas ilusão de segurança só faz as pessoas ficarem desleixadas quanto a segurança confiando que estão protegidas porque os hackers "não sabe" o nome nem a versão do software que eles usam.



Faz o mesmo sentido de usar um bom sistema de criptografia. O SHA1 é seguro, mas o bcrypt é mais, pois é mais difícil de quebrar e assim vai.

 

Quanto mais difícil for para o invasor, menor a chance de ele invadir.

 

O assunto agora já foi pra hashing de senhas... SHA-1 está obsoleto. Acho que você quis dizer SHA-512 (nem tão seguro assim pois ele é rápido e hardware é barato). Alternativas melhores ao bcrypt são PBKDF2 e scrypt.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não estou dizendo que vá resolver grandes coisa..

 

Não são todos os invasores que usam isso.. de qualquer forma eu prefiro esconder do que mostrar, mesmo que não surja praticamente nenhum efeito.



Eu digo seguro, eu digo "é melhor que nada".

 

Segurança nada se recusa.. até energia positiva serve..

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.