Pokaż wyniki 1 do 9 z 9

Temat: Bezpieczeństwo stron WWW, CMS

  1. #1
    Zarejestrowany
    Dec 2010
    Postów
    2

    Domyślnie Bezpieczeństwo stron WWW, CMS

    Cześć, to jest w sumie mój pierwszy post. Zawędrowałem do was na stronę, gdyż chciałem zająć się projektowanie stron internetowych bardziej poważnie (webdesign itd.) . No ale rok temu gdy pracowałem nad pewną stroną, padłem ofiarą hmm crackera (?) .... Modyfikowałem skrypt PhpFUSION tak aby odpowiadał moim wymaganiom no ale widocznie podziurawiłem go jak ser szwajcarski, bo w kilka tygodni (2-4), ze strony zniknęła zawartość kilku plików, potem gdy to naprawiłem to okazało się że jest trojan na serwerze który automatycznie się ściągał. Od razu wyłączyłem stronę tak aby nie mogła się nawet wyświetlać.

    Teraz chce poznać wroga. Chce się dowiedzieć jak to zabezpieczyć żeby nie mógł się do mnie włamać (wiem, że zawsze będą luki ale chce żeby było ich jak najmniej). Nie proszę o materiały odnośnie niszczenia stron, tylko zapobieganiu - zdaje sobie sprawę, że to tak naprawdę te same materiały, ale chciałem zaznaczyć swoje intencje !

    Przeglądałem wasze forum ale niestety nie znalazłem tematu który by mnie satysfakcjonował. Nie chce się dowiadywać odnośnie włamaniom na komputery, chce się dowiedzieć odnośnie bezpieczeństwu www. Znam c++, turbo-pascala, html, javascript, php, no i angielski ^^. Szukam bardziej czegoś w rodzaju kursu a nie bloga (strasznie się po nich wędruje). Mogą być pliki pdf cokolwiek...

  2. #2
    mijagi jest offline mijagi.eu
    Zarejestrowany
    Oct 2009
    Skąd
    Poland
    Postów
    59

  3. #3
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Witam,

    skoro tak to lektura obowiązkowa:

    OWASP Testing Project - OWASP

    oraz pozostałe pozycje...do ściągnięcia w pdf.

    Skoro znasz angielski to nie powinno być problemu. Rzetelne i pełne informacje na temat bezpieczeństwa aplikacji.

    Pozdrawiam

  4. #4
    Zarejestrowany
    Dec 2010
    Postów
    2

    Domyślnie

    Ok super, dziękuje wam za materiały. Jak ktoś znajdzie jeszcze coś ciekawego to chętnie przeczytam ^^

  5. #5
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Takie buty:
    AppFw
    ***********
    * markossx *
    ***********

  6. #6
    Zarejestrowany
    Jun 2015
    Postów
    1

    Domyślnie

    Witam,

    Szukam osoby do współpracy przy skanach bezpieczeństwa, jest ktoś zainteresowany?

    Pozdr.

  7. #7
    Zarejestrowany
    Oct 2008
    Skąd
    woj. Lubuskie. Dokładniej się nie da
    Postów
    405

    Domyślnie

    Cytat Napisał miojamo Zobacz post
    Witam,

    Szukam osoby do współpracy przy skanach bezpieczeństwa, jest ktoś zainteresowany?

    Pozdr.
    Policja, wojsko, ABW...

    Jeszcze nie słyszałam, by ktoś do odpalania skryptów potrzebował pomocy. Może obsługa klawiatury i myszki w pojedynkę jest zbyt trudna .

    Nie no zgrywam się ofc.
    Jeśli nie będziesz mieć pod górke, nigdy nie dojdziesz na szczyt.

  8. #8
    r3v
    r3v jest offline
    Zarejestrowany
    Oct 2015
    Postów
    4

    Domyślnie A czy skany wogóle pokazują coś ciekawego?

    Jak w temacie. Automaty nie wykrywają prawie nic, niezależnie od tego czy jest to Accunetix, czy OWASP. O wiele lepszym pomysłem jest włączenie BurpSutie na proxy i przejrzenie requestów. Ale nie o tym rozmawiamy.

    Większość osób używa do weba PHP, framworków etc etc. Dosyć powszechnych błędem jest brak weryfikacji żądań. Dla przykładu, w przypadku tzw. programistów PHP, większość sesji idzie obejść bez większych problemów, sprobujcie kiedyś odpalić burpa na proxiaku, zalogować się, potem wejśc na jakiś admin, wyrzucić w repeaterze ciastka sesyjne i wysłać ponownie żądanie. Ciekawe co się stanie To jest bardzo powszechny błąd.

    Kolejnym bardzo powszechnym błędem adminisratorów jest stawianie serwerów nieodpornych na slowloris http DOS. To ma głównie zastosowanie w przypadku hostingu współdzielonego. W poważnych organizacjach przed tym atakiem chronią WAF-y czy loadbalancery.

    Innym błędem popełniamym przez wiele firm jest trzymanie stron an hostingach współdzielonych. Zastanówcie się, co się stanie, jeśli 50-100 firm ma swoje strony na hostingu współdzielonym i serwer ma błąd typu slowloris lub któraś ze stron ma błąd SQL Injection.

  9. #9
    Zarejestrowany
    Nov 2015
    Skąd
    Łódź
    Postów
    5

    Domyślnie

    Bardzo ładnie wytłumaczone podstawy bezpieczeństwa. Dzięki za te obszerne porady

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52