Bezpieczeństwo stron WWW, CMS

**Gortal** · 12-22-2010

Cześć, to jest w sumie mój pierwszy post. Zawędrowałem do was na stronę, gdyż chciałem zająć się projektowanie stron internetowych bardziej poważnie (webdesign itd.) . No ale rok temu gdy pracowałem nad pewną stroną, padłem ofiarą hmm crackera (?) .... Modyfikowałem skrypt PhpFUSION tak aby odpowiadał moim wymaganiom no ale widocznie podziurawiłem go jak ser szwajcarski, bo w kilka tygodni (2-4), ze strony zniknęła zawartość kilku plików, potem gdy to naprawiłem to okazało się że jest trojan na serwerze który automatycznie się ściągał. Od razu wyłączyłem stronę tak aby nie mogła się nawet wyświetlać.

Teraz chce poznać wroga. Chce się dowiedzieć jak to zabezpieczyć żeby nie mógł się do mnie włamać (wiem, że zawsze będą luki ale chce żeby było ich jak najmniej). Nie proszę o materiały odnośnie niszczenia stron, tylko zapobieganiu - zdaje sobie sprawę, że to tak naprawdę te same materiały, ale chciałem zaznaczyć swoje intencje !

Przeglądałem wasze forum ale niestety nie znalazłem tematu który by mnie satysfakcjonował. Nie chce się dowiadywać odnośnie włamaniom na komputery, chce się dowiedzieć odnośnie bezpieczeństwu www. Znam c++, turbo-pascala, html, javascript, php, no i angielski ^^. Szukam bardziej czegoś w rodzaju kursu a nie bloga (strasznie się po nich wędruje). Mogą być pliki pdf cokolwiek...

**mijagi** · 12-23-2010

może to Cię zaciekawi : Bezpieczestwo Apache i aplikacji internetowych

**lojciecdyrektor** · 12-23-2010

Witam,

skoro tak to lektura obowiązkowa:

OWASP Testing Project - OWASP

oraz pozostałe pozycje...do ściągnięcia w pdf.

Skoro znasz angielski to nie powinno być problemu. Rzetelne i pełne informacje na temat bezpieczeństwa aplikacji.

Pozdrawiam

**Gortal** · 12-23-2010

Ok super, dziękuje wam za materiały. Jak ktoś znajdzie jeszcze coś ciekawego to chętnie przeczytam ^^

**markossx** · 12-23-2010

Takie buty:
AppFw

**miojamo** · 07-30-2015

Witam,

Szukam osoby do współpracy przy skanach bezpieczeństwa, jest ktoś zainteresowany?

Pozdr.

**Piatkosia2010** · 08-02-2015

Napisał miojamo

Witam,

Szukam osoby do współpracy przy skanach bezpieczeństwa, jest ktoś zainteresowany?

Pozdr.

Policja, wojsko, ABW...

Jeszcze nie słyszałam, by ktoś do odpalania skryptów potrzebował pomocy. Może obsługa klawiatury i myszki w pojedynkę jest zbyt trudna

.

Nie no zgrywam się ofc.

**r3v** · 10-18-2015

Jak w temacie. Automaty nie wykrywają prawie nic, niezależnie od tego czy jest to Accunetix, czy OWASP. O wiele lepszym pomysłem jest włączenie BurpSutie na proxy i przejrzenie requestów. Ale nie o tym rozmawiamy.

Większość osób używa do weba PHP, framworków etc etc. Dosyć powszechnych błędem jest brak weryfikacji żądań. Dla przykładu, w przypadku tzw. programistów PHP, większość sesji idzie obejść bez większych problemów, sprobujcie kiedyś odpalić burpa na proxiaku, zalogować się, potem wejśc na jakiś admin, wyrzucić w repeaterze ciastka sesyjne i wysłać ponownie żądanie. Ciekawe co się stanie

To jest bardzo powszechny błąd.

Kolejnym bardzo powszechnym błędem adminisratorów jest stawianie serwerów nieodpornych na slowloris http DOS. To ma głównie zastosowanie w przypadku hostingu współdzielonego. W poważnych organizacjach przed tym atakiem chronią WAF-y czy loadbalancery.

Innym błędem popełniamym przez wiele firm jest trzymanie stron an hostingach współdzielonych. Zastanówcie się, co się stanie, jeśli 50-100 firm ma swoje strony na hostingu współdzielonym i serwer ma błąd typu slowloris lub któraś ze stron ma błąd SQL Injection.

**mwoleyko** · 11-17-2015

Bardzo ładnie wytłumaczone podstawy bezpieczeństwa. Dzięki za te obszerne porady

Temat: Bezpieczeństwo stron WWW, CMS

Narzędzia wątku

Display

Bezpieczeństwo stron WWW, CMS

A czy skany wogóle pokazują coś ciekawego?

Tagi

Zasady Postowania

Subskrybuj