Чеклист по безопасности сайта? Что еще посоветуете?

Имеется сайт на PHP. Движок намопис
Перед релизом хочется быть полностью готовым ко всему

Вот что уже сделали:
1. CSFR токены на все ajax запросы
2. Валидация всех пользовательских данных (имеется в виду соотношение типов. Т.е. проверка на int, если в бд столбец int)
3. PDO от инъекций
4. Проверка форм. Т.е. почти у всех форм количество полей фиксированно, если в запросе данных больше, то запрос отменяем

Что еще можно реализовать для более менее полной уверенности, что сайт не сломают?
  • Вопрос задан
  • 2284 просмотра
Решения вопроса 3
Jump
@Jump
Системный администратор со стажем.
Перед релизом хочется быть полностью готовым ко всему
Быть готовым ко всему невозможно даже теоретически!
Вы поставили заведомо невыполнимую цель

Стандартный чеклист по проверке основных типов угроз.
Если есть какие-то очень критичные места именно в вашем проекте - дополнительно их проверьте.
А что касается остального -
Безопасность это процесс!
Невозможно взять и сделать сайт безопасным.
Можно следить за безопасностью сайта и своевременно устранять наиболее критичные угрозы.
Ответ написан
@ebroker
1) Настройка сервера Проверить например что по такому пути mysite.com<имя папки> сервер не возвращает список файлов в директории
2) Проверить что будет при прямом обращении к файлам mysite.com/core/some.php (если у вас не переопределен роутинг через .htaccess)
3) Проверить авторизацию, что-бы куки были httponly
4) Если на сайте есть функции загрузки файлов то сделать все возможные проверки(https://habr.com/post/44610/)
Ответ написан
@xaker01
Лень все лень.
Сложные пароли на sftp,ftp,ssh..
Последние обновления на сервере.
Нужно смотреть не только со стороны кода, но и со стороны сервера.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
VladimirAndreev
@VladimirAndreev
php web dev
Не давать администраторам создавать слабые пароли.

А лучше двухфакторная авторизация как минимум для любого, у кого есть малейшие админские функции.

Если есть возможность, системное администрирование боевых серверов должно быть через промежуточный сервер с входом только по ssh-ключам с паролями.

Ну и на серверах резать sudo до необходимого минимума.

Люди скорее всего будут самым слабым местом.
Ответ написан
@khomaldi
разбираюсь потихоньку
Во-первых, проверка данных и на клиенте и на сервере!
Во-вторых, опробуйте сами роль мамкиных хацкеров. Посмотрите, какие данные должны придти верными и попробуйте всячески послать кривые данные. F12 + Request-Builder вам в помощь.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы