[ChingChing]

Tjo!

En ny forumare (hoppas jag). Tänkte ställa en fråga som jag är väldigt nyfiken över. Jag är nybörjar kodare som sagt. Jag kodar hemsidor och har dem uppe på Loopias webbhoteller. Men jag har alltid undrat, hur blir ens hemsida attackerad? Hur skyddar man sig bäst genom sådant?

Problemet är jag vet inte vilka metoder det är som används när hackare försöker förstöra ens hemsida, så jag kan heller inte tänka ut vad det är som är problemet. Ni får hemskt gärna skriva hur mkt ni vill som svar, jag tycker detta är sjukt intressant!

Kanske ni har tips på vad det är jag ska kolla på när jag kodar, så att jag ej blir attackerad?

[ChingChing]

Ännu en fråga jag tänker över, rent generellt på nätet så sägs det vara väldigt lätt att bli hackad om man användar trådlöst (trots om den är säker). Om jag använder kabel till mitt trådlös, är det samma sak? Hjälper det om jag krypteringsskyddar min webbläsare, vet dock ej hur använder Safari. Men ni verkar vara så duktiga i detta forum, så jag hoppas att ett par snälla människor kan ge mig råd för livet =)

[jbswebeck]

Jag undrar det samma vart själv hackad nu i veckan bytte till svårare lösen

[razor]

Det finns förstås mängder med varianter på vad man kan råka ut för. SQL-injektion är nog bland det vanligaste eftersom det är ganska lätt att utföra men också att skydda sig mot, börja där. http://sv.wikipedia.org/wiki/SQL-injektion

[foks]

De två vanligaste metoderna är att ett virus snappat upp ditt FTP-lösenord och att sajten har ett script med säkerhetshål. Med de här tipsen kan man undvika de flesta attackerna i alla fall:
- Ha antivirusprogram på alla datorer du använder (och se till att det är uppdaterat)
- Använd inte okrypterade trådlösa nätverk
- Använd välkända script och håll dem uppdaterade, samma för plugins
- Om du programmerat sajten själv, se över säkerheten och se vad du kan förbättra.

Om du blir hackad, undersök hur intrånget skedde. Be webbhotellet om hjälp och loggar om det behövs. Att enbart byta lösenord brukar inte räcka, hackern kanske inte behövde lösenord alls eller så använde han en metod som gör att han kommer åt även det nya lösenordet.

[Anders Karlsson]

Citat:

Ursprungligen postat av foks

- Använd inte okrypterade trådlösa nätverk

Använd inte heller krypterade trådlösa nätverk när du logga in med FTP. I alla fall inte i offentliga miljöer.

[Anders Larsson]

Citat:

Ursprungligen postat av Osueco

Använd inte heller krypterade trådlösa nätverk när du logga in med FTP. I alla fall inte i offentliga miljöer.

Använd inte FTP öht. Det finns bättre, krypterade alternativ.

[Wijk]

Solaris (nytt nick?) här på WN har skapat en tjänst som kan vara intressant för dig. Jag har själv inte testat, mer skummat igenom tråden och hemsidan, imponerande projekt dock.

http://www.wn.se/t1045096.html

[Solaris]

Citat:

Ursprungligen postat av Wijk

Solaris (nytt nick?) här på WN har skapat en tjänst som kan vara intressant för dig. Jag har själv inte testat, mer skummat igenom tråden och hemsidan, imponerande projekt dock.

http://www.wn.se/t1045096.html

Hehe, tack för omnämnandet.

On Topic.

Generellt sätt på statiska HTML-sidor så är det rätt svårt att göra rena intrång. Det finns begränsat med funktionalitet på sidorna, och därmed också begränsade angreppsmetoder. Ifall du har ett uppdaterat AV, vettigt lösenord på din FTP och en ren HTML-sida är det väldigt svårt att som angripare göra något vettigt utav den.

Skulle väl eventuellt vara ifall angriparen rotar servern och får tillgång till alla hemsidor som hostas på den, eller att en angripare kommer åt DNS servrarna och pekar om dem till sina egna domäner.

Däremot när vi kommer till lite mer dynamiska sidor, och börjar blanda in databaser, då får man passa sig. Det finns en hel del att läsa om bland annat XSS, CSRF och SQL-injections. Spontana tips är väl följande.

Se till att köra htmlentities på alla din GET-variabler.
Använd gärna PDO när du blandar in SQL (Då slipper du dessutom tjafs som att escapa och ta bort slashtecken i variablerna).
Kontrollera så att rätt indata matas in, kan kännas överflödigt. Men ett ID ska bara ha ett ID och inte något annat, även om du filtrerar ut eventuella XSS-attacker genom htmlentities så kan man fortfarande mata in data genom HEX-värden.
Se till att när du inkluderar saker så ska du försäkra dig om att de saker du inkluderar enbart bör ligga lokalt på server. Läs närmare på om RFI (Remote File Inclusion).

Sen kan man fördjupa sig otroligt mycket inom detta område, man kan gå extremt långt i ens säkerhet.

P.S - Salta alla lösenorden som sparas i databasen (gärna unika salter)

[WeaZear]

Skydda dig mot XSS och SQL injections så är själva scriptet säkert. Sitter du på ett webbhotell så ska de vara säkra mot andra typer av intrång. Men en duktig hacker tar vad han vill oavsett säkerhet...