gerzson Sun Feb 10 20:22:14 2002 EDT
Modified files:
/phpdoc/hu/chapters security.xml
Log:
correct some conversation issues
Index: phpdoc/hu/chapters/security.xml
diff -u phpdoc/hu/chapters/security.xml:1.21 phpdoc/hu/chapters/security.xml:1.22
--- phpdoc/hu/chapters/security.xml:1.21 Mon Feb 4 06:52:41 2002
+++ phpdoc/hu/chapters/security.xml Sun Feb 10 20:22:14 2002
@@ -501,10 +501,10 @@
<title>Adatb�zis biztons�g</title>
<simpara>
- Mostan�ban, b�rmely dinamikus tartalmat szolg�ltat� web alap� alkalmaz�s
- sarokk�v�nek sz�m�tanak az adatb�zisok. Mivel nagyon k�nyes, titkos adatok
- t�rol�s�ra szolg�lnak ezek az adatb�zisok, er�sen megfontoland�, hogyan
- v�dj�k meg az ezeket.
+ Mostan�ban, a dinamikus tartalmat szolg�ltat� web alkalmaz�sok sarokk�v�nek
+ sz�m�tanak az adatb�zisok. Mivel nagyon k�nyes, titkos adatok t�rol�s�ra
+ szolg�lhatnak ezek az adatb�zisok, er�sen megfontoland�, mik�pp v�dj�k meg
+ ezeket.
</simpara>
<simpara>
Inform�ci�k t�rol�s�hoz vagy visszakeres�s�hez csatlakozni kell az
@@ -515,7 +515,7 @@
linkend="security.database.sql-injection">SQL lek�rdez�seket megbabr�lni</link>!
</simpara>
<simpara>
- Mint l�that�, a PHP egymag�ban mag�t�l nem k�pes megv�deni az adatb�zist.
+ Mint l�that�, a PHP egymag�ban, mag�t�l nem k�pes megv�deni az adatb�zist.
A k�vetkez� bekezd�sek �lja, hogy betekint�st adjanak az alapokba, hogyan kell
adatb�zisokat el�rni �s m�dos�tani egy PHP programon bel�l.
</simpara>
@@ -531,9 +531,9 @@
<title>Adatb�zis-tervez�s</title>
<simpara>
Az els� l�p�s mindig az adatb�zis l�trehoz�sa, hacsak nem egy k�v�l�ll��t
- kell haszn�lni. Az adatb�zis l�trehoz�sakor az a tulajdonos�� lesz, aki
- lefuttatta az utas�t�sokat. �ltal�ban csak a tulajdonos - esetleg az �n.
- superuser - jogosult b�rmif�le az adatb�zis elemeit �rint� m�veletre.
+ kell haszn�lni. Az adatb�zis l�trehoz�sakor az a tulajdonos�� lesz, az�,
+ aki lefuttatta az utas�t�sokat. �ltal�ban csak a tulajdonos - esetleg az
+ �n. superuser - jogosult b�rmif�le az adatb�zis elemeit �rint� m�veletre.
Annak �rdek�ben, hogy m�s felhaszn�l�k is hozz�f�rjenek, jogokat kell
nekik biztos�tani.
</simpara>
@@ -541,7 +541,7 @@
Az alkalmaz�soknak soha nem szabad a tulajdonosak�nt vagy superuserk�nt
csatlakozni az adatb�zishoz, mert ezek b�rmilyen utas�t�st �s lek�rdez�st
tetsz�s szerint futtathatnak, pl. a szerkezeti m�dos�t�st (t�bl�k
- megsz�ntet�se) vagy teljes t�rl�s�k.
+ megsz�ntet�se) vagy t�bl�k komplett t�rl�se.
</simpara>
<simpara>
L�tre lehet hozni k�l�nb�z� szigor�an korl�tozott jogosult�sg� adatb�zis-
@@ -591,23 +591,22 @@
Mihelyst a t�mad� k�zvetlen hozz�f�r�st szerzett az adatb�zishoz -
megker�lve a webszervert -, a t�rolt adatok v�dtelenn� v�ltak, �s
vissza�lhet vel�k, ha csak maga az adatb�zis nem v�di valahogy azokat.
- Az adatok titkos�t�sa kell�k�pp csillap�tja ezt a vesz�lyt, de jelenleg
+ Az adatok titkos�t�sa kell�k�pp enyh�ti ezt a vesz�lyt, de jelenleg
nagyon kev�s adatb�zis kezel� t�mogatja a titkos�t�st.
</simpara>
<simpara>
Ez a legk�nnyebben saj�t titkos�t� csomag �r�s�val oldhat� meg, amelyet
- ut�na a PHP szkriptb�l el lehet �rni. Ebben az esetben a PHP a seg�ts�get
+ ut�na a PHP szkriptb�l el lehet �rni. Ebben az esetben a PHP seg�ts�get
ny�jthat n�h�ny kiterjeszt�s�vel, mint p�ld�ul az <link
linkend="ref.mcrypt">Mcrypt</link> vagy az <link
linkend="ref.mhash">Mhash</link>, amelyek nagyon sokf�le titkos�t�
- algoritmust fednek le. Az szkript el�sz�r titkos�tja a t�rolni k�v�nt
- adatot, majd a k�s�bbiekben visszakeres�skor visszafejti azokat. N�zd
- meg a hivatkozott fejezeteket tov�bbi p�ld�k�rt, hogyan kell a titkos�t�st
- v�grehajtani.
+ algoritmust fednek le. A szkript el�sz�r titkos�tja a t�rolni k�v�nt
+ adatot, majd visszakeres�skor visszafejti azokat. N�zd meg a hivatkozott
+ fejezeteket tov�bbi p�ld�k�rt, hogyan kell a titkos�t�st v�grehajtani.
</simpara>
<simpara>
- Olyan teljsen rejtett adatok eset�n, amelyeknek ny�lt �br�zol�sukra nincs
- sz�ks�g, mert nem lesznek ki�ratva, a hashel�st alkalmaz�sa is
+ Olyan teljesen rejtett adatok eset�n, amelyeknek ny�lt �br�zol�sukra nincs
+ sz�ks�g, mert nem lesznek ki�ratva, a hashel�s alkalmaz�sa is
meggondoland�. A hashel�s j�l ismert p�ld�ja az, hogy a jelszavak helyett,
azoknak csak MD5 hash �rt�k�t t�rolj�k az adatbzisban. L�sd m�g:
<function>crypt</function> �s <function>md5</function>!
@@ -641,11 +640,11 @@
<title>SQL "beolt�s"</title>
<simpara>
Sok web fejleszt� nincs tudat�ban annak, hogy hogyan lehet megbabr�lni
- az SQL utas�t�sokat, �s felt�telezik, hogy az SQL uats�t�s az egy megb�zhat�
- parancs. Ez azt jelenti, hogy az SQL lek�rdez�sekkel ki lehet j�tszani a
- hozz�f�r�s-szab�lyoz�sokat, enn�lfogva a szab�lyos enged�lyez�si folyamatokat
- megker�lni, �s n�ha az SQL lek�rdez�sekkel a gazdag�pen oper�ci�s rendszer
- szint� hozz�f�r�st lehet l�trehozni.
+ az SQL utas�t�sokat, �s az SQL utas�t�sokat megb�zhat� parancsoknak
+ felt�telezik. Ez azt jelenti, hogy az SQL lek�rdez�sekkel ki lehet
+ j�tszani a hozz�f�r�s-szab�lyoz�sokat, a szab�lyos enged�lyez�si
+ folyamatokat megker�lni, �s n�ha az SQL lek�rdez�sekkel a gazdag�pen
+ oper�ci�s rendszer szint� hozz�f�r�st lehet l�trehozni.
</simpara>
<simpara>
A "k�zvetlen SQL utas�t�s befecskendez�s" olyan m�dszer, amellyel a t�mad�
@@ -681,23 +680,19 @@
A szokv�nyos felhaszn�l� az 'el�z�', 'k�vetkez�' linkekre kattint, ahol
az <varname>$offset</varname> az URL-be van k�dolva. A szkript azt v�rja,
hogy <varname>$offset</varname> decim�lis sz�m. M�gis, valaki megpr�b�lhatja
- a k�vetkez� utas�t�s <function>urlencode</function> alakj�t f�zi hozz�
- az URL-hez (PostgreSQL):
+ a k�vetkez� utas�t�s <function>urlencode</function> alakj�t hozz�f�zni
+ az URL-hez:
<informalexample>
<programlisting>
<![CDATA[
+// PostgreSQL
0;
insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
select 'crack', usesysid, 't','t','crack'
from pg_shadow where usename='postgres';
--
-]]>
- </programlisting>
- </informalexample>
- vagy MySQL eset�n
- <informalexample>
- <programlisting>
-<![CDATA[
+
+// vagy MySQL eset�n
0;
UPDATE user SET Password=PASSWORD('crack') WHERE user='root';
FLUSH PRIVILEGES;
@@ -751,19 +746,19 @@
]]>
</programlisting>
</informalexample>
- Ha ez a lek�rdez�st (a <literal>'</literal> �s <literal>--</literal> megfelel�
- haszn�lat�val) valamelyik <varname>$query</varname>-ben haszn�lt v�ltoz�hoz
- siker�lne hozz�rendelni, akkor a sz�rny fel�bredne.
+ Ha ezt a lek�rdez�st (a <literal>'</literal> �s <literal>--</literal>
+ megfelel� haszn�lat�val) valamelyik <varname>$query</varname>-ben haszn�lt
+ v�ltoz�hoz siker�lne hozz�rendelni, akkor a sz�rny fel�bredne.
</para>
<para>
- SQL UPDATEs ugyancsak ki vannak t�ve az adatb�zisok elleni t�mad�soknak.
- Ezeket az utas�t�sokat is fenyegetik az el�z�ekben megismert megr�vid�t� �s
- hozz�f�z� technik�k. �m emellett a t�mad� meghamis�thatja a
<literal>SET</literal>
- klauzul�t is. Ebben az esetben n�mi s�ma inform�ci�val rendelkeznie kell a
- t�mad�nak, hogy sikerrel j�rjon. Ezeket az inform�ci�kat az �rlapv�ltoz�k
- neveib�l szerezhetik meg, vagy egyszer�en pr�b�lgat�ssal. Az �ltal�nosan
- haszn�lt elnevez�sek a felhaszn�l�i n�vre �s jelsz�ra nem nagyon
- k�l�nb�znek egym�st�l.
+ SQL UPDATE parancsok ugyancsak ki vannak t�ve az adatb�zisok elleni
+ t�mad�soknak. Ezeket az utas�t�sokat is fenyegetik az el�z�ekben megismert
+ megr�vid�t� �s hozz�f�z� technik�k. �m emellett a t�mad� meghamis�thatja a
+ <literal>SET</literal> klauzul�t is. Ebben az esetben n�mi s�ma
+ inform�ci�val rendelkeznie kell a t�mad�nak, hogy sikerrel j�rjon. Ezeket
+ az inform�ci�kat az �rlapv�ltoz�k neveib�l szerezhetik meg, vagy egyszer�en
+ pr�b�lgat�ssal. Az �ltal�nosan haszn�lt elnevez�sek a felhaszn�l�i n�vre �s
+ jelsz�ra nem nagyon k�l�nb�znek egym�st�l.
<example>
<title>
Jelsz� �t�r�s�t�l ... �j jogok megszerz�s�ig (valamilyen adatb�zis kezel�)
@@ -783,17 +778,17 @@
<informalexample>
<programlisting role="php">
<![CDATA[
-// $uid == ' or uid like'%admin%'; --
-$query = "UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%'; --";
+// $uid == "' or uid like'%admin%'; --"
+$query = "UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%'; --';";
// $pwd == "hehehe', admin='yes', trusted=100 "
-$query = "UPDATE usertable SET pwd='hehehe', admin='yes', trusted=100 WHERE ...;"
+$query = "UPDATE usertable SET pwd='hehehe', admin='yes', trusted=100 WHERE ...";
]]>
</programlisting>
</informalexample>
</para>
<para>
- Egy ijeszt� p�lda arr�l, hogyan lehet az adatb�zis gazdag�p�n oper�ci�s
+ Egy ijeszt� p�lda, hogyan lehet az adatb�zis gazdag�p�n oper�ci�s
rendszerszint� parancsokat futtatni.
<example>
<title>Az adatb�zis-gazdag�p oper�ci�s rendszere elleni t�mad�s (MSSQL
Server)</title>
@@ -810,7 +805,7 @@
<informalexample>
<programlisting role="php">
<![CDATA[
-$query = "SELECT * FROM products WHERE id LIKE '%a%' exec master..xp_cmdshell 'net
user test testpass /ADD'--";
+$query = "SELECT * FROM products WHERE id LIKE '%a%' exec master..xp_cmdshell 'net
+user test testpass /ADD'--%'";
$result = mssql_query($query);
]]>
</programlisting>
@@ -832,7 +827,7 @@
<sect3 id="security.database.avoiding">
<title>Elh�r�t�si m�dszerek</title>
<simpara>
- Ellenevet�sk�nt felmer�lhet, hogy p�ld�k t�bbs�g�ben a t�mad�nak
+ Ellenevet�sk�nt felmer�lhet, hogy a p�ld�k t�bbs�g�ben a t�mad�nak
rendelkeznie kell valamennyi el�zetes inform�ci�val az adatb�zis
fel�p�t�s�r�l. Ez igaz, de soha nem lehet tudni, hogy mikor, hol, hogyan
szerezhetik meg ezeket, �s ha ez megt�rt�nt, az adatb�zisod v�dtelenn�
@@ -843,9 +838,9 @@
megtervezettek.
</simpara>
<simpara>
- Ezek a t�mad�sok alapvet�en azoknak a programoknak a kihaszn�l�s�n alapulnak,
+ Ezek a t�mad�sok alapvet�en olyan programoknak a kij�tsz�s�n alapulnak,
amelyek a v�delmet/biztons�got figyelmen k�v�l hagyva sz�lettek. Soha nem
- lehet megb�zni semmilyen bej�v� adaton, f�leg ha az a kliens oldalr�l
+ lehet megb�zni semmilyen bej�v� adatban, f�leg ha az a kliens oldalr�l
�rkezik, m�g akkor sem, ha az egy �ltalunk megadott s�ti (cookie), vagy
rejtett mez� (hidden input) �rt�ke esetleg egy leg�rd�l� lista eleme.
M�g egy olyan �rtatlan lek�rdez�s, mint ami az els� p�ld�ban l�that�,
@@ -919,7 +914,7 @@
<listitem>
<simpara>
T�rolt elj�rsokat �s el�re defini�lt kurzorokat is haszn�lhatsz, hogy
- az adatb�zisel�r�st absztrah�ld annak �rdek�ben, hogy a felhaszn�l�k
+ az adatb�zis el�r�st absztrah�ld annak �rdek�ben, hogy a felhaszn�l�k
ne k�zvetlen�l a t�bl�khoz vagy n�zetekhez f�rjenek hozz�. Ennek a
megold�s azonban egy�b hat�sai vannak.
</simpara>
@@ -928,8 +923,8 @@
<simpara>
Ezeken k�v�l, hasznot hajthat a lek�rdez�sek napl�z�sa ak�r a szkripteken
- bel�l, ak�r ha az adatb�zis kezel� maga teszi ezt. Nyilv�nval�, hogy ez nem
- tudja megakad�lyozni egyetlen �rtalmas pr�b�lkoz�st sem, de seg�ts�get
+ bel�l, ak�r ha az adatb�zis kezel� maga teszi ezt. Nyilv�nval�an ez nem
+ tud megakad�lyozni egyetlen �rtalmas pr�b�lkoz�st sem, de seg�ts�get
ny�jthat annak felder�t�s�ben, hogy melyik alkalmaz�s lett kij�tszva. A
napl�z�s �nmag�ban nem, csak a benne megjelen� inform�ci�kon kereszt�l
v�lik hasznoss�: �ltal�ban a t�bb r�szlet, hasznosabb.
@@ -942,7 +937,8 @@
<title>Hibakezel�s</title>
<para>
A PHP biztons�gi k�rd�sek fel�l a hibajelz�seknek k�t oldaluk van.
- Az egyiket n�zve hasznos a v�delem n�vel�se szempontj�b�l, a m�sik k�ros r�.
+ Az egyiket n�zve hasznos a v�delem n�vel�se szempontj�b�l, a m�sik
+ szemsz�gb�l viszont k�ros.
</para>
<para>
Egy szok�sos t�mad�si technika min�l t�bb inform�ci� begy�jt�se
