Το προφίλ μας στο Google Plus
2

Συγγραφή ασφαλούς κώδικα, μέρος 1 από 2

Κακά τα ψέματα. H μεγαλύτερη αδυναμία των εφαρμογών του διαδικτύου είναι οι ίδιοι οι προγραμματιστές τους! Σε αυτούς οφείλονται όλα τα καλά και όλα τα κακά. Εμείς, επειδή είμαστε ευχάριστοι τύποι, προσπερνάμε τα καλά και εστιάζουμε στα κακά! Μη φοβάστε, δεν το κάνουμε με διάθεση γκρίνιας. Το κάνουμε για να εξετάσουμε όλα αυτά τα “κακά” και με την ευκαιρία να μάθουμε μερικούς βασικούς κανόνες για την ελαχιστοποίηση τους!

deltaHacker Νοεμβρίου (τεύχος 003) | Συγγραφή ασφαλούς κώδικα, μέρος 1 από 2

Πλέον, οι μεγαλύτερες αδυναμίες στο software δεν βρίσκονται στο λειτουργικό σύστημα (Linux, BSD, Windows, Mac OS κ.ά.) ούτε στους web server (IIS, Apache, κ.ά.). Οι αδυναμίες εμφανίζονται πολύ πιο συχνά στις απλές εφαρμογές client. Δηλαδή στις εφαρμογές που προορίζονται για τον τελικό χρήστη. Τέτοιες εφαρμογές αποτελούν τα γνωστά Συστήματα Διαχείρισης Περιεχομένου (CMS, από το Content Management System), αλλά και πολλές άλλες που εκτελούνται στους διάφορους server.

Συχνά οι προγραμματιστές, είτε από άγνοια των βασικών αρχών ασφάλειας είτε από βιασύνη –αφού πάντα τρέχουν να προλάβουν τα deadline–, δεν προσέχουν ιδιαίτερα τον κώδικα που γράφουν. Αυτό έχει σαν αποτέλεσμα ο κώδικας να μην είναι ασφαλής και να περιέχει κενά ή, όπως συνηθίζουμε να λέμε, τρύπες. Ουσιαστικά πρόκειται για αδυναμίες που θα μπορούσε να εκμεταλλευτεί κάποιος για να αποκτήσει πρόσβαση σε δεδομένα που κανονικά δεν θα έπρεπε (προσωπικά στοιχεία χρηστών, email, οικονομικά στοιχεία κ.ο.κ.) Αρκετές φορές μάλιστα, εκμεταλλευόμενος τέτοιες αδυναμίες μπορεί κανείς να αποκτήσει πρόσβαση ακόμη και στον ίδιο τον server, με ό,τι αυτό συνεπάγεται!

Διαβάστε όλο το άρθρο στο deltaHacker Δεκεμβρίου (τεύχος 003). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

2 Responses to “Συγγραφή ασφαλούς κώδικα, μέρος 1 από 2”

  1. achronop | 06/02/2012 at 14:35

    Δοκιμάζω την ίδια λογική όταν δεν υπάρχει SQL (λέμε τώρα) άλλα δεν πετυχαίνει. πχ

    ?>

    Δεν είναι ίδια η μεθοδολογία σε αυτήν την περίπτωση;

  2. achronop | 06/02/2012 at 14:46

    … καλά θα το ζωγραφίσω …

    για παράδειγμα έχει μέσα στην PHP τον έλεγχο, κάτι σαν

    an ([dollar]un===’admin’ and [dollar]pw===’MyPass’ )

    (ελπίζω να μη το κόψει)
    (αν θες σβήσε τις προηγούμενες προσπάθειες)

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων