Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   DLsecure Beta 0.0.1.1 (https://forum.antichat.xyz/showthread.php?t=35445)

GreenBear 13.03.2007 22:10
DLsecure Beta 0.0.1.1
 
Итак, наконец стал доступен широкой аудитории наш модуль безопасности DLsecure. Модуль включает в себя утилиты для контроля передаваемой Вашему скрипту информации, файловый антивирус (у многих не заработает из-за нагрузки), логгер, хуиз.
Модуль детекта атак позволит качественно (может быть даже слишком) защитить Ваш скрипт от попыток SQL инъекций, инклюдинга и XSS. Все что Вам нужно - настроить конфиг, приинклюдить скрипт и запустить инсталлятор. Все переменные и качество их фильтрования можно настроить в файле переменных. Удобные массивы исключений и подозрений на атаки можно отредактировать в variables.php (внимательно отнеситесь к конфигурированию этого файла). В файле base.dat можно отконфигурировать сигнатуры антивируса.
Вообщем про тонкости настроек Вас могут посвятить Онлайн консультанты проекта.
Домашняя страничка программы http://damagelab.org/dlsecure/

nc.STRIEM 14.03.2007 00:50
Впечатляет!
Но вот только не оч понравилось что при защите от SQL ругаеться есле в строке найдено какоето из ключевых слов:
union
select
from
Ведь это могут данные передоваемые из формы, которую заполнил юзер без задних мыслей.
Да и на ковычко просто ругаеться1 так ктото напишет 'фраза' и все!

Helios 14.03.2007 00:58
Идея прикольная, скачал, сейчас буду ковыряться)

DIAgen 14.03.2007 01:03
Тоже поковыряю, так глянул, надо будет не много переписать для личного пользования!

GreenBear 14.03.2007 01:04
nc.STRIEM, там же написано, что определенные переменые можно разрешать

Winux 14.03.2007 01:05
Там если нало залочить выражения для личного использования, нужно поправить конфиг с переменными и где нужно их разрешить, например в постах.

Winux 14.03.2007 02:10
DIAgen, поделись своими наработками, мб включим их в следующий релиз =)

CBuH 14.03.2007 02:31
Здорово, наконец то его выложили в паблик!

Helios 14.03.2007 12:42
Поковырялся, вот мои выводы:
проект рульный, но мыслей насчет того, что можно было бы доделать еще много)

К примеру, неплохо бы для фильтрации переменных заюзать phpInputFilter, от инклудов и скулей не спасет, зато от XSS ИМХО лучшей зашиты нету.

Еще, опять же, ИМХО лучше прогонять не все переменные за один раз, а по вызову пользователя, к примеру: класс JRequest из Joomla Framework.
В нем есть методы getVar и setVar, в которых происходит проверка и занесение переменных во внутренний кэш, дабы не проверять 2 раза. Таким образом, можно без лишнего неудобства все переменные в движке получать методом:
PHP код:
$var JRequest::getVar('varname''defaultValue''INT'$_REQUEST); 
ИМХО удобно)

Helios 14.03.2007 13:05
Ps: еще хотелось бы увидеть настраиваемую политику реагирования на обнаруженную атаку. Ну, это так, для умиротворения души=)


Время: 09:26
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице