Страницы

Поиск по вопросам

воскресенье, 24 ноября 2019 г.

На какие уязвимости, помимо SQL-инъекций и XSS, стоит проверить сайт?


Давно не интересовался методами взлома, так что солидно отстал от жизни. Кто с чем сталкивался?    


Ответы

Ответ 1



Я обычно анализирую следующие варианты: XSS SQL injection HTML Injection HTTP Response splitting Загляните на OWASP Top Ten UPD Попробуйте пройтись по своему творению этой системой

Ответ 2



Я бы посоветовал использовать web-scanner который бы "прошелся" бы по всему сайт и обнаружил бы уязвленные места. Для этих целей есть много различного ПО, например Acuneti Vulnerability Scanner. Им легко пользоваться, и анализирует он всевозможные уязвимост на сайте (dos and ddos attacks, sql injection, php injection, XSS attack, CSRF attack и т.д), группируя их по степени важности. Также дает ссылки на источники где можно почитать про ошибки в том или ином ПО и как эти ошибки могут использовать хакеры, написав соответствующие эксплойты (иногда может также дать ссылку на эксплойт), а так же как эти уязвленности исправить/избежать. Также стоит отметить, что всегда нужно следить за правами доступа на файлы, находящимис на web-server. Поскольку можно с помощью того же web-scanner узнать о частичной структуре директорий на сервере, что позволит запустить скрипт из web.

Комментариев нет:

Отправить комментарий