Если вы закапываетесь в детали, то уязвимости на ровном месте не заработают - Веб-строительство

Кодер ошибается один раз, программист постоянно. (о безопасности скриптов)

mendel · 2011-01-25T14:19:48.0000000Z

Программист ошибается постоянно. Кодер - только один раз. Когда возомнит себя программистом. В чем главное отличие хорошего кодера от программиста? Ведь в принципе кодер должен писать читабельный и рабочий код. Иначе это уже плохой кодер. Бывает, что кодеры пишут довольно большие куски кода, так что критерий масштаба тоже не пригоден. Так в чем же разница? По моему скромному мнению разница в сфере ответственности. По большому счету кодер не несет ответственности за проект, скрипт и т.п. Он как правило обеспечивает некоторый конкретный функционал, но не более. Правда и не менее :) Программист же думает немного шире. Он думает о производительности, о простоте доработки и поддержки и о.... безопасности . Пару примеров: На довольно приличном количестве сайтов стоит форма обратной связи с капчей которая на самом деле не существует. На самом деле нам выводят одну из дюжины сохраненных картинок. Т.е. вариантов капчи всего дюжина, и робот-спамер может просто лупить один из этих вариантов. За десяток попыток точно пробьет. Опять таки про капчу - часто бывает забавная ситуация когда правильный ответ передается вместе с проверяемым. Частный случай такого варианта - передавать правильный ответ в тексте страницы для того, чтобы можно было проверять правильность капчи перед ее отправкой (имитация AJAX). XSS. Отсутствие универсальных методов фильтрации приводит к тому, что многие ленятся делать фильтр в "неважных" формах. Например можно не фильтровать данные из формы поиска. Ведь вроде как эти данные нигде не используются дальше. Вот только если "скормить" админу ссылку, которая отправит его на страницу, где через данную уязвимость будет добавлен определенный код. Ты его не видешь, читаешь себе спокойненько статейку, на своем или даже чужом сайте, а оно уже под твоим именем в админке шарится. :) XSRF. Обычно идет как продолжение XSS. Суть ошибки заключается в том, что при получении данных из формы скрипт проверяет только куки пользователя, но не проверяет с какой страницы он пришел. В результате правильно оформленная ссылка отправившая пользователя на форму внутри админки может в принципе делать что угодно. (Частный случай - когда проверяют только реферер, но не проверяют "маркеры безопасности".) Многие разработчики (в том числе и программисты этим грешат) вместо шаблонизаторов используют шаблоны с включением пхп-кода. Помимо осложнения понимания такого перемешанного кода это часто бывает еще и опасно. Если есть возможность менять такие шаблоны прямо из админки, и нет дополнительных проверок и вопросов, то имея XSRF-уязвимость (см. выше) можно не только менять содержимое сайта, но и банально заливать любой код, который будет выполняться при любых действиях. Это нам дает возможность банально скопировать весь сайт, со всеми данными, с клиентской базой и т.п. Вышеуказанные ошибки в основном совершают кодеры. Программисты редко наступают на эти грабли, хотя ошибки бывают у всех. Для примера приведу ошибки свойственные программистам. Знаете ли вы такой шаблонизатор как SMARTY? мощный шаблонизатор входящий в состав очень большого количества движков. Один маленький нюанс - в нем есть почти все возможности php. С одной стороны это хорошо, а с другой стороны - там есть возможность напрямую получить доступ к post/get переменным. Т.о. дизайнер/верстальщик, который захочет например выводить запрос в форме поиска сделает нам шаблон содержащий XSS уязвимость. А все потому, что не должен дизайнер или верстальщик знать основ безопасности сайтов. Не его это дело. Ну и напоследок вкусняшка: Все мы знаем такую биржу как sape. Пожалуй срок давности такой информации уже прошел... в общем пару лет назад был большой ажиотаж, на тему того, что некоторые люди могли узнать скрытые адреса площадок торгующих ссылками. Один из методов как это можно было сделать очень прост. (сразу предупрежу, что данная уязвимость устранена несколько лет назад) Черный список содержал конкретные адреса сайтов, но в поиске площадок была возможность добавить площадку в черный список не зная еще ее адреса. Т.о. после нажатия на ссылку "добавить в черный список площадку номер такой-то" в черном списке появлялся АДРЕС сайта а не его номер. Продолжение следует. И если кое-кто не поленится, то не только от меня :)

232

mendel

1 февраля 2011, 20:47

#51

wano-moroz, вы закапываетесь в детали.

Я например вообще не эскейплю вывод.

В смысле централизованно не эскейплю.

и метод bbcode2html у меня не в шаблонизаторе заложен.

на уровне ядра я навязываю прикладнику только безопасность.

Хотя если честно рассматриваю вариант сделать два метода передачи данных шаблонизатору - с эскейпом и без.

Но вот с базой только через обертки, плейсхолдеры и т.п. И гет/пост эскейпится по умолчанию, "маркеры безопасности" и т.п.

sun, ну именно читабельность кода можно по разному организовывать :)

да и разные адреса для формы и ее обработки не означают, что код будет в разных файлах и т.п.

К примеру у меня (как и у многих фреймворков) ссылки по умолчанию обрабатываются как /имя_класса/имя_метода/параметр1/параметрN

т.е. родственные страницы в любом случае будут относиться к одному классу, и с высокой вероятностью, что к одному методу.

Ну а на счет:

sun:
Я еще хотел отдельно сказать, хорошо еще использовать обертки для запросов к базе. Тут как раз на уровне инструмента залаживается безопасность.

так это да, это очевидно.... это не только упрощает код, (я с тех пор как написал пару классов для работы с базой, SQL существенно подзабыл :) часто "со словарем" пишу... банально нет практики - все за меня скрипт делает. только узкие места правлю), но еще и принудительно обеспечивает эскейпинг данных.

Шутку любишь над Фомой, так люби и над собой. (с) народ. Бесплатные списки читабельных(!) свободных доменов (http://burzhu.net/showthread.php?t=2976) (5L.com) Сайты, All inclusive. 5* (/ru/forum/962215)

Проверка файлов PHP Обработка формы с чистого С фреймворком или без

569

Dreammaker

1 февраля 2011, 23:20

#52

mendel:
только ввод и базу.

неверный подход. Этим самым вы уложняете организацию поиска по базе.

232

mendel

2 февраля 2011, 08:37

#53

Dreammaker, чем усложняю? реалэскейпом? так без него работать не будет, не говоря об инъекциях....

569

Dreammaker

2 февраля 2011, 17:13

#54

mendel:
реалэскейпом?

если так, то все ок. Просто речь шла о выводе в хтмл везде, и у подумал уже что вы используете htmlspecialchars перед загоном в базу :)

[Удален]

3 февраля 2011, 10:16

#55

mendel:
гет/пост эскейпится по умолчанию, "маркеры безопасности" и т.п.

Вот и вы делаете ту самую ошибку которая приводит к краху многие продукты.

Цитируя одну статейку

Данные надо обрабатывать не в зависимости откуда они пришли, а в зависимости куда они уйдут !

Вот я например пишу:

format c:

странно, но сервер на котором работает эта страничка почему-то работает, однако на страничке эта строчка находятся в неизменённом виде. Есть над чем подумать.

232

mendel

3 февраля 2011, 13:44

#56

wano-moroz, в чем ошибка собственно? :)

В том, что нельзя доверять инфе от пользователя?

от эскейпа "для профилактики" краха не будет.

Ну а если данные вызывают специфические действия, то их надо дополнительно фильтровать.

Не вижу противоречий.

mendel добавил 04.02.2011 в 14:44

Да еще к статейке интересный момент.

Как оказалось довольно многие (недавно два скрипта таких встретил) разработчики ленятся проверять подписи у сообщений от платежных систем. Как результат - возможность пополнения счета в сервисе без денег. А если сервис позволяет денежку выводить, то.... то взгреть могут хорошо.

«ВКонтакте» закрывает свою платежную На Маркете появились чаты Скрипты AdWords стали доступны

[Удален]

4 февраля 2011, 11:46

#57

mendel:
В том, что нельзя доверять инфе от пользователя?

В том числе и в этом.

Нет конечно правда что ввод надо проверять, например если мы ждём ввод положительного числа то мы должны проверить (и опять же не фильтровать) пришло число или нет (аналогично и с мылом/адресом/итд)

Другое дело если мы получаем например сообщение для форума. Тут мы не должны ничего фильтровать и ничего эскейпить. Мы просто должны конвертировать эти данные в нужный формат. (htmlspecialchars если мы выводим в браузер, или escape если кидаем в запрос, или ничего не делать если посылаем в библиотеку которая сама эскейпит данные)

mendel:
от эскейпа "для профилактики" краха не будет

Будет и не малый.

Кодировка в базе данных Основы безопасности веб-приложений Нулевое яндекс цитирование

232

mendel

4 февраля 2011, 12:26

#58

wano-moroz:
Будет и не малый.

И какой будет? Что вместо хтмл выведется исходный код?

Ну и фиг с ним... зато уязвимости на ровном месте не заработаем.

wano-moroz, мне кажется у нас с вами недопонимание именно в постановке вопроса.

Я говорю о фреймворке, а вы похоже о прикладном скрипте.

По моему скромному мнению ядро обязано перестраховаться. Действия писателя прикладного модуля (который вполне может быть кодером, в терминологии топика) по умолчанию должны быть безопасными. Если бизнеслогика будет ошибочна это не так страшно - обычно заказчик вполне компетентен заметить, что скрипт выдает не то, что ожидается. А вот безопасность не так заметна. Поэтому, и только поэтому я считаю, что по умолчанию ядро должно обеспечивать безопасность, а прикладной разработчик должен уже по мере необходимости эту безопасность отключать.

Яндекс.Поиск о скрытых спам-ссылках Развернутая инструкция по Google Темой нового выпуска Google

[Удален]

4 февраля 2011, 17:42

#59

mendel:
ядро обязано перестраховаться

Вот в этом ваша главная ошибка, ядро оперирует данными а не их представлением (представление это уже забота модулей) т.е за HTML отвечает шаблонизатор, за SQL отвечает либа для работы с БД итд

mendel:
Действия писателя прикладного модуля (который вполне может быть кодером, в терминологии топика) по умолчанию должны быть безопасными

Именно, по этому все они должны оперировать абстрактными данными, а за вывод их в браузер/базу/файлы/итд должен отвечать не каждый модуль (ибо писатель модуля может не знать какие там вообще модули есть) а непосредственно тот что работает с выводом.

mendel:
ядро должно обеспечивать безопасность

Оно её и обеспечит. Оно будет оперировать любыми даже "опасными" данными, и по этому кто бы не писал модуль (и кто бы не забыл ескейпнуть данные) шаблонизатор сделает это за него. А внутри ядра, и в других модулях, по умолчанию будут нефильтрованные данные.

wano-moroz добавил 04.02.2011 в 20:44

mendel:
Ну и фиг с ним

Если при надевании двух презервативов вреда будет не заметно, то при заливании в бензобак воды вместо опасного бензина, вред будет намного больше.

Давайте учить PHP! Новая, удобная CMS для С чего начать изучение

232

mendel

5 февраля 2011, 09:54

#60

wano-moroz:
Вот в этом ваша главная ошибка

Ну а Ваша главная ошибка в том, что ищете у меня ошибки. :)

Приведите пример где от такого подхода может быть вред, а не теоретизируйте.

mendel добавил 05.02.2011 в 12:55

И да, это:

wano-moroz:
при заливании в бензобак воды вместо опасного бензина, вред будет

не пример если что :)

Размышления о платных тестах Примеры хороших сниппетов Key Collector - автоматизированная

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ

Google: E-E-A-T не является фактором ранжирования

Кодер ошибается один раз, программист постоянно. (о безопасности скриптов)