Чеклист по безопасности сайта? Что еще посоветуете?

Имеется сайт на PHP. Движок намопис
Перед релизом хочется быть полностью готовым ко всему

Вот что уже сделали:
1. CSFR токены на все ajax запросы
2. Валидация всех пользовательских данных (имеется в виду соотношение типов. Т.е. проверка на int, если в бд столбец int)
3. PDO от инъекций
4. Проверка форм. Т.е. почти у всех форм количество полей фиксированно, если в запросе данных больше, то запрос отменяем

Что еще можно реализовать для более менее полной уверенности, что сайт не сломают?
  • Вопрос задан
  • 2001 просмотр
Пригласить эксперта
Ответы на вопрос 7
Перед релизом хочется быть полностью готовым ко всему
Быть готовым ко всему невозможно даже теоретически!
Вы поставили заведомо невыполнимую цель

Стандартный чеклист по проверке основных типов угроз.
Если есть какие-то очень критичные места именно в вашем проекте - дополнительно их проверьте.
А что касается остального -
Безопасность это процесс!
Невозможно взять и сделать сайт безопасным.
Можно следить за безопасностью сайта и своевременно устранять наиболее критичные угрозы.
Ответ написан
@ebroker
1) Настройка сервера Проверить например что по такому пути mysite.com<имя папки> сервер не возвращает список файлов в директории
2) Проверить что будет при прямом обращении к файлам mysite.com/core/some.php (если у вас не переопределен роутинг через .htaccess)
3) Проверить авторизацию, что-бы куки были httponly
4) Если на сайте есть функции загрузки файлов то сделать все возможные проверки(https://habr.com/post/44610/)
Ответ написан
Сложные пароли на sftp,ftp,ssh..
Последние обновления на сервере.
Нужно смотреть не только со стороны кода, но и со стороны сервера.
Ответ написан
box4
@box4
C)ISSM, ITILv3
Owasp top10
Cis benchmark
Vulnerability auditing
Kali gathering
Ответ написан
VladimirAndreev
@VladimirAndreev
php web dev
Не давать администраторам создавать слабые пароли.

А лучше двухфакторная авторизация как минимум для любого, у кого есть малейшие админские функции.

Если есть возможность, системное администрирование боевых серверов должно быть через промежуточный сервер с входом только по ssh-ключам с паролями.

Ну и на серверах резать sudo до необходимого минимума.

Люди скорее всего будут самым слабым местом.
Ответ написан
@khomaldi
разбираюсь потихоньку
Во-первых, проверка данных и на клиенте и на сервере!
Во-вторых, опробуйте сами роль мамкиных хацкеров. Посмотрите, какие данные должны придти верными и попробуйте всячески послать кривые данные. F12 + Request-Builder вам в помощь.
Ответ написан
kankord
@kankord
  • Защита от DDoS-атак на L7, а не стоковая
  • Защита API (если имеется)
  • В идеале еще подключить WAF

Своими силами это не реализовать, но если хочется быть именно _готовым_ко_всему_, то об этих вещах забывать никак нельзя.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы