26 maj, 2007

PHP Security Scanner

Introduktion
"Check your PHP scripts for vulnerabilities with Acunetix WVS" - Så lyder citatet för ett avancerat säkerhetsverktyg som används för att avläsa hemsidor efter säkerhetsluckor. Här kommer lite information.

Acunetix är ett företag som har målet att skapa ett verktyg för avläsning av alla typer av hemsidor och sedan ta reda på om det finns några säkerhetsluckor närvarande. De har verkligen lyckats - "Acunetix Web Vulnerability Scanner". Skaparna är väl utbildade och har väldigt höga erfarenheter som säkerhetsexperter.

Verktyget testar alla möjliga attacker mot en vald sajt och listar sedan hot, lösningar, varningar och detaljerad information om varje attack. Det testar bland annat om vald sajt är skyddad mot "SQL Injection", "Cross Site Scripting (XSS)", "CRLF Injection", "Javascript and AJAX" med mera.

Det är ett utmärkt verktyg för er som är webbutvecklare/webbprogrammerare inom PHP, ASP eller liknande för att enklare ta reda på vad ni har glömt skydda, eller vad ni måste skydda som ni inte redan visste. Efter varje test värderas säkerhetsrisken i tre olika kategorier:
  • Låg (low)
  • Medium (medium)
  • Hög (high)
Visste ni att ungefär 70% av alla hemsidor i nuläget (20070526) saknar skydd mot någon typ av säkerhetslucka som hackers kan utnyttja för att göra intrång i systemet? Det kan leda till stulna kreditkorts nummer, stulen personlig information, användarnamn, lösenord och mycket mer. Om ni har tur blir ni informerade om säkerhetsrisken (om ni nu har nån!) på er hemsida av en "snäll" hacker.

Notis:
  • Hacker = En person som utnyttjar säkerhetsluckor för att utforska IT system.
  • Cracker = En person som förstör och saboterar IT system efter att ha utnyttjat en eller flera säkerhetsluckor.

Att tänka på

Det spelar ingen roll hur många brandväggar och antispywareskydd ni har i systemet för att skydda er webbserver eller databas. Det räcker med en svaghet i en av era hemsidor som kör serverbaserade skript för att en illasinnad person ska kunna ta sig in.


Tips från coachen (mig själv)
  • Kontrollera och verifiera alltid indata. Det spelar ingen roll om det är indata från en databas, fil, uppladdning, körbara filer, en kaka (cookie), eller annan hemsida. Kontrollera alltid indata för den kan ha blivit manipulerad.
  • Spara alltid lösenord som en kontrollsumma, typ SHA1, MD5. Om någon skulle råka få tillgång till platsen där de lagras (exv. databas) så kan de inte använda lösenordet för att logga in. Det är också nästan omöjligt att knäcka.
  • Förlita er aldrig på kontroller för indata på klientsidan (oftast javascript i webbläsaren) eftersom det enkelt kan raderas och modifieras.

Lite om mig
Jag är en programmerare och nätverkstekniker som är väldigt intresserad om allt som har med IT-säkerhet att göra, därav denna artikeln. Kommer kanske börja på högskola till hösten och läsa Cisco och fortsatt programmering.


Källor
www.acunetix.com

19 maj, 2007

PHP-Gtk2: Nybörjare Del 1

Förord
Hej och välkommen till en artikelserie om programmeringsspråket PHP-Gtk - en uppföljare till PHP. Jag har planerat att skriva om PHP-Gtk version 2 (PHP-Gtk2) på svenska för att det saknas guider och artiklar på just svenska om PHP-Gtk2. Jag hoppas verkligen att det uppskattas.

Den här första delen i artikelserien kommer innehålla referenser till PHP-Gtk2 (på engelska) för de som känner att de vill hoppa in i leken direkt. PHP-Gtk2 på svenska kommer först i Del 2!


Referenser

* När denna artikeln skrevs refererade länkarna till PHP 5.2.2 och PHP-Gtk2


Slutord
Jag skriver inte artikelserien bara för att det är kul och att jag vill vara snäll mot er alla, utan också för att det är enklare att lära sig om man själv skriver om det och hjälper andra.

Detta var Del 1 i min artikelserie om PHP-Gtk2 för nybörjare. I Del 2 kommer jag visa exempel på svenska med mera.

-- Waschman

15 maj, 2007

En dikt

"Det finns crackar och patchar. Det kan locka och fresta!
Det kan tända mitt heta begär!
Själva crackandet är inte det bästa
Det är glädjen att finna kunskap och lycka!"

"I den oerhört vackra assemblerkoden jag skådar!
Där tystnaden ligger och gryr
Finner jag kodning och kraft i ett!
Här finns skönhet och kodning som väcker förundran!
Här behövs cracking som skänker mig frid!"

av Waschman

För er som vill veta mer
* Cracking är när man tar sig in i program och IT system och ändrar eller förstör
* Assembler är ett programspråk
* En patch (crack) är en (oftast) modifierad exekverbar fil

Välkomna till bloggen

Välkomna ska ni vara kära besökare. Jag skriver om IT för att det är kul och för att jag vill dela med mig av information och kunskap. Jag försöker hålla bloggen så kategoriserad som möjligt för att ni enklare ska hitta intressanta länkar och artiklar.