Меню
Что нового?

Опять про безопасность

arguk

Новичок
Опять про безопасность

Здраствуйте, так вот у меня есть сайт на катором продается довольно таки не дешевый продукт,
но для скачки нужно иметь license_id, так вот зайдя в register.php нужно в форме заполнить кое
какие параметры и конечно license_id после чего скрипт проверяет в базе на правильность ...
ВОПРОС возможно сделать так чтобы после N подборов он не позволял злоумышленнику заполнять форму,
и вообще может ли злоумышленник написать скрипт который автоматически заполнял форму, тем самым заставляя
скрипту все время запрашивать на правилность, тем самым загружать сервер, если да пожалуйста
подскажите как можно этого избежать. Заранее спасибо и простите за столь длинный текст.
 

nerezus

Вселенский отказник
и вообще может ли злоумышленник написать скрипт который автоматически заполнял форму, тем самым заставляя
скрипту все время запрашивать на правилность, тем самым загружать сервер, если да пожалуйста
подскажите как можно этого избежать.
Нажмите для раскрытия...
Сможет легко ;)
На перле пара строчек например(копипаст из LWP::UserAgent)

Поппробуй картинку давать, чтобы буковки с нее вводили :)
 

master_x

Pitavale XXI wieku
ндааа, я тебе советую немедля закрыть свой магазин, потому как такие недоработки в сфере безопасности к хорошему не приведут. Конечно license id злоумышленник может и не подберет, но вот загрузить сервер запроста.

-~{}~ 17.07.05 19:14:

а избежать можно, только если будешь писать айпишник злоумышленника в базу и не пускать его потом. Или куку оставляй, избавит тебя от 40% "злоумышленников" (многие на этом остановятся и даже не вздумают поменять куку, но еще раз повторяю это спасет только от "злоумышленников").
 

Mozart

Новичок
Автор оригинала: master_x
ндааа, я тебе советую немедля закрыть свой магазин, потому а избежать можно, только если будешь писать айпишник злоумышленника в базу и не пускать его потом. Или куку оставляй, избавит тебя от 40% "злоумышленников" (многие на этом остановятся и даже не вздумают поменять куку, но еще раз повторяю это спасет только от "злоумышленников").
Нажмите для раскрытия...
Я про куку не понял...А кому ты ее запишешь? Или ты говоришь про тех, кто вручную будет скрипт нагружать(вводя данные и нажимаея кнопку)?
 
Crazy

Crazy

Developer
Автор оригинала: master_x
а избежать можно, только если будешь писать айпишник злоумышленника в базу и не пускать его потом.
Нажмите для раскрытия...
Злоумышленник рвет связь, перезванивает и получает новый IP из диалапного пула.

-~{}~ 17.07.05 20:34:

Автор оригинала: arguk
ВОПРОС возможно сделать так чтобы после N подборов он не позволял злоумышленнику заполнять форму,
Нажмите для раскрытия...
Неправильный вопрос. Правильный вопрос: сколько в среднем попыток нужно, чтобы подобрать licenceid, представляющий собой 40 символов a-z0-9?

Принять скорость подбора за 10,000 в секунду. Среднюю длительность подбора пароля сравнить с временем жизни Вселенной.
 

arguk

Новичок
Поппробуй картинку давать, чтобы буковки с нее вводили
master x как это, и чем это поможет?
про айпи я думал но он может запросто зайти с другово айпи не знаю это выход или нет.
Нащет cookie я так и сделал но мне нужна защита посилней, потомучто речь идет не о магазине а о программе который стоит кучу денег, вот поэтому настоятельно прошу помочь мне с этой ситуацией, заранее благодарен.

-~{}~ 17.07.05 20:40:

Crazy пожалуйста помоги разобратся.
 

arguk

Новичок
У меня в данный момент 2 звена это куки и проверка айпи но дело в том что у нас конкурирующая фирма и попытка взлома будет на все 100

-~{}~ 17.07.05 20:46:

Что можно добавить как бы ты сделал?
 
Crazy

Crazy

Developer
arguk, намекаю второй раз: подсчитай. Что подсчитать -- я тебе уже сказал.
 

nerezus

Вселенский отказник
>>Поппробуй картинку давать, чтобы буковки с нее вводили
>master x как это, и чем это поможет?
эт я сказал

Crazy говорит тебе, что подобрать нельзя ключ
 

Mozart

Новичок
На сколько я понял - программа дорогостоящая и обращения частые наверно вряд ли будут...Как глупый выход рубить по времени...например если был последний запрос меньше чем 30 сек назад - закрывать запрос...( но имхо неправильный выход....)
 
Crazy

Crazy

Developer
Автор оригинала: nerezus
говорит тебе, что подобрать нельзя ключ
Нажмите для раскрытия...
Не совсем так. Подобрать можно. Теоретически.

Но на практике трудно придумать товар, который оправдал бы такой объем работы.
 

arguk

Новичок
Автор оригинала: Crazy
Не совсем так. Подобрать можно. Теоретически.

Но на практике трудно придумать товар, который оправдал бы такой объем работы.
Нажмите для раскрытия...
crazy а как это реализовать после каждого запроса создать счетчик с длительностью 30 секунд после чего разрешить сделать второй ?, мне кажется это на все сто решит проблему с подбором но главное что конкурирующая фирма захочет вывести из строя (перезагрузку)сервер поможет ли этот метод?
 

master_x

Pitavale XXI wieku
я вот одну вещь тебе скажу: про подборку лицензии забудь! не смогут они методом подбора ее узнать (если лицензия правильная), об этом же тебе Crazy сказал. Про то, что фирма захочет вывести из строя сервер... Так это ИМХО флуд-атака, а про нее в сети довала материала. По-моему, оптимум - вариант со временем.

-~{}~ 17.07.05 22:22:

Автор оригинала: Mozart
На сколько я понял - программа дорогостоящая и обращения частые наверно вряд ли будут...Как глупый выход рубить по времени...например если был последний запрос меньше чем 30 сек назад - закрывать запрос...( но имхо неправильный выход....)
Нажмите для раскрытия...
как раз этот подход представляется мне правильным представь нормального юзера, который будет к тебе долбиться с проверкой лицензии каждые 2 секунды к примеру?
 

Mozart

Новичок
Автор оригинала: master_x
-~{}~ 17.07.05 22:22:


как раз этот подход представляется мне правильным представь нормального юзера, который будет к тебе долбиться с проверкой лицензии каждые 2 секунды к примеру?
Нажмите для раскрытия...
в том-то и дело, что слабо представляю.....
 

arguk

Новичок
Вариант мне кажется не плохой наверно самый приемлимый в моей ситуации getenv-ом узнать ип клиента если ключ не правильний то создать сессию или куки с продолжительностью 30 секунд и каждый раз проверять если ип не правильный и 30 секунд не прошло то делать редирект на страницу где ему скажут подождать 30 сек, если я все правильно понял то огромнейшее спасибо тебе, Crazy.
 
Crazy

Crazy

Developer
Автор оригинала: arguk
мне кажется это на все сто решит проблему с подбором
Нажмите для раскрытия...
КАКУЮ проблему с подбором это решит? В чем ты видишь ПРОБЛЕМУ?

но главное что конкурирующая фирма захочет вывести из строя (перезагрузку)сервер поможет ли этот метод?
Нажмите для раскрытия...
...и просто сделает DDOS на одну из динамических страниц вашего сайта. Если вы в самом деле стоите того, чтобы с вами возиться.

P.S. Hint: проверить наличие строки лицензии в базе -- по крайней мере не дольше, чем собрать из базы новостную страницу. Обычно -- быстрее. На порядок.
 

nerezus

Вселенский отказник
arguk
распределенная атака на отказ в обслуживании
 

arguk

Новичок
Я уже прочитал все про DOSS, там есть некие програмки которые защитят, а поскольку мой офис довольно таки богатый думаю я и от этих атак огражу себя
 
Войдите или зарегистрируйтесь для ответа.
Сверху