@Narts

Аудит сайта на дыры перед релизом?

Всем привет! Скоро собираюсь запускать личный проект, и перед запуском хотелось бы его протестировать на дыры и уязвимости.
Дело в том, что проект большой, функционала много и все завязано на БД. Т.к. это мой первый проект, который я самостоятельно довел до конца, то уверен на 99% что есть дыры и баги. Плюс ко всему, разработка велась не на популярном фреймворке, не на cms, а на обычном микрофреймворке, в котором изначально была концепция mvc, авторизация и некоторые другие плюшки.

Какие дыры могут быть на сайтах?
Например, от инъекций я использую PDO, от фейковых запросов я в почтовых формах использую CSRF токены (в ajax-запросах не использую, надо ли?)

Что еще нужно проверить, есть ли какой-нибудь чек лист?
Плюс основной функционал закрыт для гостей (грубо говоря для них сайт в рид онли)
  • Вопрос задан
  • 145 просмотров
Пригласить эксперта
Ответы на вопрос 3
webinar
@webinar
Учим yii: https://youtu.be/-WRMlGHLgRg
перед запуском хотелось бы его протестировать на дыры и уязвимости.

для этого нанимаете спеца, который пытается его ломануть и дает отчет о уязвимостях.

а на обычном микрофреймворке, в котором изначально была концепция mvc

а потом mcv куда-то пропало?

Какие дыры могут быть на сайтах?

Самые разные. Вы ожидаете что кто-то знание целой индустрии уложит в 1 предложение? Это как спросить "ребят подскажите как сделать машину своими руками?"

грубо говоря для них сайт в рид онли

любой сайт рид онли по сути. Если проект большой, значит и бюджет есть. Наймите не дорогого спеца на фрилансе, который укажет Вам на дыры очевидные. Если Вы не знаете с чего начать, значит наши ответы не особо помогут Вам, что бы его хорошо оттестировать.
Ответ написан
kawabanga
@kawabanga
Бью себя по рукам за каждый ответ на глупый вопрос
Проверяйте на xss и предварительно очищайте текст, который может прийти от пользователей.
Ответ написан
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Так а от нас вы чего хотите?
- Прочтенный курс по безопасности WEB интерфейсов и конфигурации серверного ПО?
- Ссылку на контору занимающуюся тестированием?

А так, идите по чеклисту состоящему из одного пункта "золотого правила" - "проверяй всё что поступает от клиентов"
1. Все функции написанные вами и с которые попадает любое что вводит клиент или может быт послано клиентом любым другим способом (GET/POST/PUT/DELETE и т.д.), причем не только то что сами написали но и обработку этого всего в фреймворке.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
ICONIC Москва
от 180 000 до 300 000 руб.
от 90 000 до 140 000 руб.
Aitarget Москва
от 100 000 руб.