google מודיעים שהאתר נחסם עקב זיהום

[אסתר א]

כתבתי קוד.. הכנסתי לאתר דרך cpanel..
ולאחר כמה ימים כשניסו להיכנס לאתר הופיעה הודעה אדומה
שתוקפים נמצאים באתר וכו'.. ויש injection...

הבעיה אותרה ותוקנה..


אבל עכשיו אני לא יכולה להמשיך לכתוב קודים כי אני חוששת שעוד הפעם זה יקרה..
אין לי שמץ מושג מה גרם לזה..
מה עושים?
זה תוקע לי את כל העבודה...

 

[אסתר א]

אף אחד לא יודע?? אולי כיוון איפה אפשר למצוא מידע על הנושא?

 

[mat]

הבעיה אותרה ותוקנה..


אבל עכשיו אני לא יכולה להמשיך לכתוב קודים כי אני חוששת שעוד הפעם זה יקרה..
אין לי שמץ מושג מה גרם לזה..

יש פה סתירה לוגית. אם הבעיה אותרה. אז איך זה ש "אין לי שמץ מושג מה גרם לזה.."

 

[אסתר א]

החברה שבנתה את האתר מלכתחילה , הסכימה חד פעמי לתקן את הבאג באתר...

לטענתם הגורם הוא אני - מחשב לא מאובטח, קובץ לא מאובטח...
קיצר דברים שאין לי מושג מה הם אומרים...

 

[maor700]

אי אפשר לענות.
לא נתת שום מידע על איזו מערכת ניהול יש לאתר, באיזו שפה מה הקוד שהכנסת?
האם הקוד מקבל מידע מטופס באתר וכד'?

בגדול יש כמה סוגי פריצות נפוצות שיש להגן מפניהם.

sql injection - הפורץ מבצע הזרקה של קוד SQL דרך שדה טופס באתר
שדה טופס שמכיל קוד SQL לדוג' שדה הסיסמה באתר מקבל ערך כזה:

password= ' or 1=1

תחשבי שהכנסת את הערך כמו שהוא לשאילתת SQL תקבלי משהוא כזה:

select * from users where username= $username and password = '' or 1=1

1 תמיד שווה לאחת ולכן הפורץ יקבל גישה למערכת הניהול של האתר.

איך מגנים מפני זה :

1. ניקוי של המשתנים שנשלחים מצד לקוח. יש פונקציות יעודייות:

mysql_real_escape_string($user_input);

htmlspecialchars()

יש עוד כמה

אפשרות נוספת והכי מומלצת להגנה:
שימוש בPDO בביצוע שאילתות ושימוש ב prepare :

$sql = 'SELECT emailaddress FROM users WHERE username = ? AND password = ?';
$query = $db->prepare($sql);
$query->bindParam(1, $_REQUEST['username']);
$query->bindParam(2, $_REQUEST['password']);

מה ש prepare עושה זה הפרדה בין מבנה השאילתא לבין המשתנים שהיא אמורה לקבל וכך הוא מונע התערבות של המשתנים במבנה של השאילתא.

התקפה נוספת אפשרית היא xss attack, שזה קיצור של Cross-site scripting
מה שזה אומר - שתילה של סקריפטים של JS דרך טפסים באתר.

תחשבי שיש לך אתר של מודעות יד שנייה ואת מאפשרת לחברי האתר לפרסם מודעות
הפורץ יכול לשתול בשדה של תוכן המודעה את הסקריפט הבא:

This user does not have permission to use the HTML BB code.

השדה הזה נשמר בDB של האתר וכל מי שמבקר באתר אמור לראות את "המודעה" של הפורץ מה שיקרה בפועל שהשרת ירנדר html שמכיל את הסקריפט של הפורץ שאוטומטית יפנה את הגולש לאתר אחר - לא נעים. זו רק דוגמה אחת למעשה הפורץ יכול לעשות כל מה ש JS מאפשר לו.

איך מונעים XSS Attack?
פשוט מנקים את המשתנים שמגיעים מהמשתמש ומכילים תגיות script ותגיות אחרות שתבחרו בעזרת הפונקציות:

htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

strip_tags($_POST["comment"]);

זה הממש הא' ב' של אבטחת אתרים חייבים להגן לפחות מפני הפריצות מהסוג הזה.

 

[אסתר א]

וואו.. מדהים העזרה פה של האנשים....!!!...
החכמתי ... תודה על הידע ... מעניין מאוד...

במקרה שלי זה לא זה ואני יפרט:
האתר בנוי בוורדפרס
מערכת ניהול cpanel
databases כמובן mysql
הקוד שהכנסתי php

הקוד שלי לא מתעסק עם ויזואל בכלל... כלומר אין שום קלט ...
זה כמו webServices , פשוט שולח מידע מטבלאות האתר כאובייקט json
הגישה לדף זה היא רק למי שיודע את הקישור , - שזה האפליקציה של האתר שאני מפתחת.. רק שם יש את הקישור...

איזה סוג פריצה יכול להיות במקרה כזה?

 

[maor700]

אוקי,
אני מבין שפשוט יצרת API לאפליקציה או משהו בסגנון.
לכאורה זה לא אמור להשפיע על כלום.
תוכלי לקרוא כאן איך למנוע את זה:

https://my.bluehost.com/cgi/help/570

בנוסף תוכלי להגדיר לGOOGLE לא לאנדקס את הדף הזה וכך הוא ידלג עליו.
https://support.google.com/webmasters/answer/93710?hl=en

 

[אסתר א]

כן בדיוק...

זה נראה טוב...
בודקת את הדברים... תודה רבה... לא ידעתי על האפשרויות האלו...

 

[אסתר א]

מצרפת פה קישור לתועלת מי שיתקל בעתיד בבעיה דומה...
זה ענה על מה שקרה לי..

https://www.stopbadware.org/prevent-badware-wordpress

 

[מאירי5]

להשלמה של מה שכתב maor700, מצ"ב כמה בדיקות לנתונים שמגיעים מטפסים:
<?php

if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}

function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
{
?>
​

?>
וכמובן לינק: