Bezpieczeństwo aplikacji webowych - mała dygresja do paneli administracyjnych

[blooregard]

Witam Wszystkich,

Jestem nowym uzytkownikiem forum i przeglądając starsze wątki natrafiłem na dyskusję na temat tworzenia bezpiecznego kodu. Osobiście, jako praktykujący programista PHP staram się w maksymalnym stopniu stosować wszelkie zabezpieczenia i filtrowanie zmiennych przekazywanych do skryptów (polecam "Pro PHP Security" wydawnictwa Apress) i tym podobne, ale ja nie o tym.

Po raz kolejny okazuje się, że największym zagrożeniem dla każdej aplikacji jest człowiek. Na 30 losowo znalezionych w Google paneli administracyjnych, wg. moich prób,:
- do 4 wiodła droga poprzez login="admin" i hasło="admin"
- do kolejnych 5 loginem był "admin", natomiast hasło to nazwa firmy

Czyli mamy 9 na 30, co daje nam niemal 35% paneli stojących otworem.

Ręce opadają.

[eMCe]

hehe dokładnie - przeważnie zasługa małych firm programistycznych nie uświadamiających swoich klientów o zagrożeniu i ogólnym laniu na bezpieczeństwo ze strony klientów
2 ownedy i się nauczą

[lukasz6547]

takie są resali i sie raczej nie zmienią...jesli dzisijsze sposoby bedą przezytkiem powstaną nowe...rozwija sie hacking i cracking...ja nie dawno poznałem bardzo ciekawa aplikacje o nazwie nikto która testuje bezpieczenstwo stron www opartych na róznych technologiach w tym php, mysql itd i wypisuje jakie błedy są w serwerze...i wiekszosc stron jest podatna na sql injection prawda nie takie perfidne ze np login'-- i jestem na czyims koncie-niby filtracja jest ale zawze sie znajdzie jakis ciąg znaków który to obejdzie(ten górny przecinek)...z php injection jest tak samo jak z sql...ale błedy w include to juz jst calkowicie przegiecie i jest jeszcze multum spososbów....ciekawy temat poruszyłes podkrslając w nim ludzkie błedy i źródłowe

[rip]

jak testujesz takie strony, ktorych nawet google zbyt dobrze nie zna, to sie nie dziw Normalka. Ale najczestszy blad to xsrf, bo w szkole tego nie ucza... zaraz, w szkole niczego nie ucza!

która testuje bezpieczenstwo stron www opartych na róznych technologiach w tym php,

domyslam sie skutecznosci tego programu

[Teeed]

najsłabszą jednostką w informatyce jest człowiek ;/
to wiem i powtarzam...