@Narts

Аудит сайта на дыры перед релизом?

Всем привет! Скоро собираюсь запускать личный проект, и перед запуском хотелось бы его протестировать на дыры и уязвимости.
Дело в том, что проект большой, функционала много и все завязано на БД. Т.к. это мой первый проект, который я самостоятельно довел до конца, то уверен на 99% что есть дыры и баги. Плюс ко всему, разработка велась не на популярном фреймворке, не на cms, а на обычном микрофреймворке, в котором изначально была концепция mvc, авторизация и некоторые другие плюшки.

Какие дыры могут быть на сайтах?
Например, от инъекций я использую PDO, от фейковых запросов я в почтовых формах использую CSRF токены (в ajax-запросах не использую, надо ли?)

Что еще нужно проверить, есть ли какой-нибудь чек лист?
Плюс основной функционал закрыт для гостей (грубо говоря для них сайт в рид онли)
  • Вопрос задан
  • 137 просмотров
Пригласить эксперта
Ответы на вопрос 3
webinar
@webinar
Учим yii: https://youtu.be/-WRMlGHLgRg
перед запуском хотелось бы его протестировать на дыры и уязвимости.

для этого нанимаете спеца, который пытается его ломануть и дает отчет о уязвимостях.

а на обычном микрофреймворке, в котором изначально была концепция mvc

а потом mcv куда-то пропало?

Какие дыры могут быть на сайтах?

Самые разные. Вы ожидаете что кто-то знание целой индустрии уложит в 1 предложение? Это как спросить "ребят подскажите как сделать машину своими руками?"

грубо говоря для них сайт в рид онли

любой сайт рид онли по сути. Если проект большой, значит и бюджет есть. Наймите не дорогого спеца на фрилансе, который укажет Вам на дыры очевидные. Если Вы не знаете с чего начать, значит наши ответы не особо помогут Вам, что бы его хорошо оттестировать.
Ответ написан
kawabanga
@kawabanga
Тостер скатился.. Жду вопроса - сколько будет 2+2?
Проверяйте на xss и предварительно очищайте текст, который может прийти от пользователей.
Ответ написан
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Так а от нас вы чего хотите?
- Прочтенный курс по безопасности WEB интерфейсов и конфигурации серверного ПО?
- Ссылку на контору занимающуюся тестированием?

А так, идите по чеклисту состоящему из одного пункта "золотого правила" - "проверяй всё что поступает от клиентов"
1. Все функции написанные вами и с которые попадает любое что вводит клиент или может быт послано клиентом любым другим способом (GET/POST/PUT/DELETE и т.д.), причем не только то что сами написали но и обработку этого всего в фреймворке.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы