התמודדות עם העלאת תוכן גולשים ברמת הגדרות השרת

Wednesday, July 1, 2009

בהרבה אתרים, בייחוד אתרים קהילתיים, ניתנת לגולשים באתר אפשרות להעלות קבצים. בין אם זה attacments להודעות פורום, קבצים עם תמונת פרופיל שלהם או מסמכים, יש להכל מכנה משותף – אנחנו נותנים לגולש אפשרות לשים קובץ ב FileSystem של השרת שלנו. כל מתכנת עם ידע בסיסי באבטחה יודע שיש צורך לעשות איזושהי וואלידציה לסוג הקובץ שמועלה, לברר שזה סוג שאנחנו מוכנים לקבל. אבל, תמיד כדאי לנקוט כמה צעדי ביטחון נוספים, למקרה שאיכשהו הייתה בעייה, הוואלידציה לא הייתה תקינה, יש פירצת אבטחה באפליקציה אחרת בשרת שמאפשרת איכשהו לשתול את הקובץ וכו’. יש מספר צעדי ביטחון שאפשר לנקוט...
תגיות: ,
2 תגובות

איך למנוע אפשרות להרצת קבצי ASP ו-ASP.NET בתיקייה מסויימת?

Saturday, March 15, 2008

לעיתים, נרצה למנוע, כמו שלמדתי על בשרי, אפשרות להרצת קבצי ASP או ASP.NET מתיקייה מסויימת. בשביל לבצע זאת, צריך ללכת לפי ההוראות האלה (עבור IIS 6): כנסו לinetmgr לכו למאפייני ה folder שבו אתם רוצים לחסום. ב Execute Premission שנו ל None. עכשיו, אין אפשרות להריץ ASP ו-CGI. לחצו על הכפתור Create. לחצו על הכפתור Configuration. בחלון שייפתח, בחלק של Wildcard Application Maps מחקו את המיפוי ל aspnet_isapi.dll.         ...
תגיות: ,
תגובה אחת

הדרכה בנושא Windows Firewall

Wednesday, April 4, 2007

במסגרת תפקידי כ Windows Vista Ambassador, תחת פיקודו (טרמינולוגיה צבאית) של נתנאל, הכנתי סרטון הדרכה קצר ביותר (רבע שעה) בנושא Windows Firewall. המטרה של הסרטון זה להסביר למשתמש הביתי על הפירוול של Windows. להורדה.
9 תגובות

המחשב שלי לא מאובטח?

Monday, March 19, 2007

כשניסיתי להיכנס לדף הזה קיבלתי את ההודעה הבאה: למה אתם מציעים לי לשדרג ל XP... כשיש לי כבר ויסטה?!?!?!?!זה מראה 2 דברים: מיקרוסופט לא בודקת את הדפים שלה בנושא של היום הלאוי לאינטרנט בטוח כמו שצריך. מישהו שם תנאי בשרת שב if ייבדק האם אתה שווה לגרסאות מסויימות. לא פשוט יותר להשתמש בסימן < (גדול מ-)? מקווה שעד לשנה הבאה זה יתוקן.
4 תגובות

אבחנה לגבי ה"רושעות" המודרניות

הרושעות (תוכנות שמטרתן גרימת נזק) המודרניות מראות לנו מגמה מעניינת של התמסחרות גם בתחום כתיבת מזיקים.הוירוס הראשון בעולם, Brain, עשה פעולה מאד פשוטה והרסנית - פגע בסקטור האתחול של התקליטונים בגודל 5.11 אינץ' (לפני זמני) והפך אותם ללא שמישים ואילץ את בעליהם לפרמט אותם מחדש. לכותבו של הוירוס Brain לא היה שום רווח מהוירוס שכתב והפיץ. גם לכותביהם של וירוסים יותר מאוחרים, כמו Sasser ו Blaster (הידוע גם בתור MSBlast) לא נוצר רווח מהוירוס שהם כתבו. בשני המקרים האחרונים, הם דווקא קיבלו מגורים חינם - בבית הכלא הפדרלי הקרוב. וירוסים כאלה, ועוד רבים אחרים (וירוס האהבה, למשל) שזכו לפרסום...
תגיות:
אין תגובות

המסע באינטרנט

Wednesday, February 21, 2007

המהות של האינטרנט, כתרשים של קשרים בין מחשבים ורשתות, לעיתים נראית לא ברורה. ובאמת, מדובר בתרשים מתוסבך, בו כולם קשורים ומשתמשים בשמות המוצגים כלפי חוץ (כתובות IP) וכלפי פנים (כתובות IP פנימיות). כדי לראות באמת איך האינטרנט עובד, אפשר להשתמש בפקודה tracert שמציגה לך את הדרך שעברת לאתרים שונים. את המסע שלנו נתחיל בפרטים טכניים - אני מחובר ADSK ל012. זה יהיה חיוני כדי שתבינו את כל הדרך שנעבור. בתור התחלה, אני אראה לכם את הדרך שעוברים ה packets (חבילות המידע שנשלחות) מהמחשב שלי כדי להגיע לאתר הבלוגים, blogs.microsoft.co.il: את המסע אנחנו מתחילים בראוטר שלי. המידע מהמחשב,...
8 תגובות

לא לקחת את האינטרנט כמובן מאליו

Wednesday, February 7, 2007

קבוצת קראקרים, ככל הנראה מאיזור דרום קוריאה, התקיפה ארבעה מ15 שרתי השורש של האינטרנט. מי שלא מכיר את הארכיטקטורה של האינטרנט ונשען רק על באזוורדס שאנשים מדקלמים מסביבו, יידע להגיד שהאינטרנט היא "רשת מבוזרת". זה נכון, האינטרנט אכן ניתנת להגדרה כמערכת מבוזרת, אבל עד גבול מסויים. כלומר, בסופו של דבר - עדיין ישנם 15 שרתים, שמכונים "שרתי שורש" שהם הבסיס של האינטרנט. מה התפקיד שלהם? הם מחזיקים את נתוני הדומיינים. כשאני מקליד www.walla.com, כולנו יודעים שבשרת DNS מופיעה הכתובת וגם הIP שמשוייך אליה. אז כשאני מקליד את הכתובת הזאת, אני מועבר לשרתי הDNS של ספקית האינטרנט שלי, במידה ולא...
2 תגובות

ומה כשאני רוצה רק דלת עץ?

Sunday, January 7, 2007

גדי מאיר כתב על סוגיית האבטחה ושימוש בהרשאות מנהל מערכת בויסטה. דבר ראשון, אני חייב לחדד נקודה מסויימת - תזכרו, אפילו אם טכנית המשתמש רץ עם user שהוא Administrator, עד שאין דרישה לזה, ועד שהוא לא מאשר בהודעת האישור שמופיעה לו - הוא רק user רגיל עם פוטנציאל להיות Administrator.* אבל, והיה שאתם רוצים שהמשתמש, בעת ריצת האפליקציה שלכם, יהיה Administrator מיד בהתחלה, כלומר, על ההתחלה להציג לו הודעת אישור שבמידה והוא יאשר התוכנה שלכם תרוץ כ Administrator (ואתם לא מסתמכים על כך שהוא יעשה קליק ימני על האפליקציה, ואז Run as Administrator), המדריך הזה אמור לעזור לכם. *המנגנון...
תגובה אחת

דוגמא טובה: ככה לא מטפלים בבעיות

Thursday, October 26, 2006

לאחרונה, יש וירוס(ים) שמסתובבים בICQ, וגורמים לאנשים לקבל לינקים כביכול מחברים שלהם, להוריד, ואז גם הם נדבקים.אנשי ICQ הוצפו בתלונות, לא מצאו את הפרצה ברשת (הוירוס מנצל איזוהי פירצה), איבדו את הידיים והרגליים, ועשו את הדבר הכי גרוע שאפשר לעשות. חסמו שליחת קישורים. אז אם אתם שולחים עכשיו קישורים בICQ, הם פשוט לא יגיעו. ככה לא מטפלים בבעיות.
14 תגובות

Windows Live OneCare 1.5 – ניסיון בדיקה

Thursday, October 12, 2006

ההתקנה של WLOC  קיצור נחמד ל Windows Live OneCare מורדת באמצעות קובץ ששוקל רק 900KB, כי עיקר ההתקנה מתבצע מהWEV תוך הורדה במהלך ההתקנה. יש בזה גם יתרון (לא צריך להוריד קובץ ענק, עם מלא דברים שלא צריך, רק בשביל לעשות את ההתקנה, וגם חיסרון - מה אם רוצים לעשות התקנה במחשב שהוא אופליין?בד"F במקרים האלה, מיקרוסופט מאפשרת להוריד קובץ מלא, שיאפשר לעשות את ההתקנה גם אופליין. במקרה הזה, כנראה בגלל שמדובר בגרסאת בטא, לא מצאתי עוד את הקובץ התקנה המלא. במחשב שלי, היה מותקן Trend Micro בעת תחילת ההתקנה, ורציתי לראות איך יגיב WLOC לכך. הוא, כצפוי, זיהה...
6 תגובות