Nov
cand timpul parca sta in loc
Filed Under (fara categorie) by dexter on 15-11-2007
De multe ori suntem in situatii in care parca timpul sta in loc. Vrei sa treci peste acel moment si nu reusesti.
Un moment asemanator a inceput vineri seara pentru mine. De ce? Incepand cu vineri dupa-amiaza site-ul www.e-felicitari.net a fost supus unui atac informatic din partea unei echipe de hackeri sau a unuia singur(asta a ramas o enigma pentru mine).
Hackeri au incercat sa foloseasca SQL injections pentru a gasi vulnerabilitatile site-ului. Si au gasit! Si au facut! Si m-am chinuit!
In foarte scurt timp au reusit sa se logheze cu contul de administrator si sa stearga toate mesajele de pe forum plus toate mesajele de pe blog. Sincer recunosc ca vina imi apartine in totalitate deoarece atunci cand am realizat scriptul nu prea m-am gandit la posibilitatile de spart site-ul. De asemenea am facut cateva game de programare si nu am luat in considerare una dintre regulile dezvoltarii unui site sigur: Niciodata sa nu te increzi in datele trimise de utilizatori.
Astfel dupa acest atac sambata, luni si marti am incercat sa gasesc solutii la aceste probleme si sa remediez erorile din script. Pe parcursul acestor zile am modificat clasa de validare si am adaugat functii noi de validare(in momentul de fata verific si tipul variabilei primite de la utilizator: daca de exemplu o variabila trebuie sa fie de tip numeric si ea este trimisa sub forma de text atunci este considerat ca o tentativa de spargere a site-ului). Pe langa aceasta solutie simpla am lucrat si la un script de detectarea celor care incearca sa sparga site-ul folosindu-se de sesiunile altor persoane(session stealing — sau parca asa ceva era pe wikipedia) .
In ultimele zile nu am mai avut probleme cu site-ul insa aceasta poate fi doar o aparenta.
P.S: Va salut si va spun noapte buna:)
