Visualizzazione Stampabile
Salve,
vorrei domandarvi.. come ci possiamo difendere dalle vulnerabilità del server..
Mi spiego meglio..
ad esempio.. caricando avatar un lamer non può mettere delle c99 o c57 (avatar o allegati) ?
E poi è possibile eseguire delle injection sql, lfi o rfi etc..?
E Possibile EVITARE tutto questo? Come?
però.. vedo che vi state ammazzando a rispondere ;)
xD
Fare sql injection è ormai praticamente impossibile su vB. Inoltre vB non accetta file con estensione .php, quindi sarebbe impossibile caricarla in avatar o img profilo.
Puoi affidarti benissimo alle realese ufficiali. Al massimo posso consigliarti di proteggere meglio l'amministrazione modificando la dir e magari impostando .htaccess e .htpasswd.
Avevo cominciato con questo:Citazione:
Originariamente Scritto da Valerio80
Non so se e quando potrò continuare.Citazione:
La sicurezza del server dipende sopratutto dalle conoscenze della persona che imposta un server web.
In linea generale è sufficiente un sistema operativo molto leggero, un firewall software o hardware, un software server di larga distribuzione, e una configurazione non troppo restrittiva - perché a forza di cercare la sicurezza, molti fanno anche troppo, e invece di essere sicuro, si perde il controllo.
Io ti posso solo raccontare ciò che è sicuro a livello di Windows, ma immagino che con qualche trasformazione di termini va bene anche per Linux.
Dunque - per un sistema leggero ma comunque funzionante intendo un Windows 2000, che con 2 GB di RAM è superdotato e gira veramente bene. Devi renderti conto che non ci sarà mai nessuno che entra nel tuo server, se non l'amministratore tramite un programma di gestione remota, come ad esempio VNC. In assenza di Windows 2000, va bene anche un XP Home, Professional, Windows Server 2003, ma più che si va avanti, più memoria è richiesta per la stessa funzionalità e stessa sicurezza. In caso estremo potrebbe anche funzionare un Windows 95/98, che richiedono però qualche software aggiuntivo per bloccare l'accesso non autorizzato al server.
Citazione:
Originariamente Scritto da The Lord of Diplomacy
Quindi, non possono mettere dietro a qualche jpeg qualche shell?
@y2ksw
capisco..
In poche parole.. stai dicendo che mettendo un firewall.. non ci sono problemi.. giusto?
SQL INjection su vB versione 3.7.3 per ora impossibile ;)
Si capito, ma per le shell?
Attraverso l'upload di Avatar,allegati possono metterne?
No giusto?
Assolutamente NO
Stavo dicendo che fatto la configurazione base che impedisce l'ingresso alla macchina ai non autorizzati, la sicurezza è sufficiente per garantire anche la sicurezza in Internet. Poi a livello del server Web, DB, FTP ed EMail si aggiungono gli altri criteri che vanno più in dettaglio. Non è necessario tradurre i diritti di accesso a livello di sistema operativo, perché di fatto questi utenti non avranno mai accesso allo stesso, ma soltanto al Web. E' lì che molti sbagliano e quindi si complicano la vita con decine e centinaia di vincoli che non saranno mai applicati.Citazione:
Originariamente Scritto da Valerio80
Io l'ho imparato in proprio, a forza di provare e paragonare. Quindi ho potuto concludere che molte volte i sistemi più semplici sono più sicuri, perché si capisce al volo dove mettere mano. Non c'è margine di errore.
Invece, mi sono trovato in difficoltà con certi sistemi di controllo e protezione. I pannelli Plesk e cPanel sono esempi di facilitare le cose nella norma, ma quando si tratta di ottimizzare le prestazioni e far sembrare un serveruccio con 2 GB come un server Quad Core con 16 GB, allora questi pannelli sono solo di ostacolo, e abbassano addirittura il livello di sicurezza.
Capisco, siete stati gentilissimi.
Grazie.