Проверка уязвимостей

(Ответов: 3, Просмотров: 951)
  1. Дипломник Аватар для shapit01
    • Регистрация: 23.01.2013
    • Сообщений: 117
    • Репутация: 25
    Привет, друзья.

    Начал активно заниматься программированием и задумался о безопасности своих сайтов.

    На сколько понимаю, основную угрозу представляют формы. Причем угрозы 2:
    • Опасность загрузки в форму скриптов
    • Опасность загрузки в форму SQL запросов

    Первое можно побороть использовав стандартные функции php позволяющие фильтровать полученное значение.
    Второе используя prepared statments.

    Внимание, вопросы:
    1. Какие еще опасности могут поджидать добродушного разработчика/вебмастера?
    2. Есть ли готовые решения проверяющие сайты на наличие подобных уязвимостей?
    3. Если №2 нет, то почему? Я бы с радостью не только проверил себя, но и своих конкурентов...
    • 0
  2. Студент Аватар для вйцвцйввйц
    • Регистрация: 09.06.2011
    • Сообщений: 33
    • Репутация: 0
    Цитата Сообщение от shapit01 Посмотреть сообщение
    Какие еще опасности могут поджидать добродушного разработчика/вебмастера?
    основная проблема - дырявый беззаботный хостинг с кучей уязвимых соседей (чужих сайтов). Если ломают их, то становятся уязвимыми и сколь угодно хорошо защищенные соседи по хостингу.

    Цитата Сообщение от shapit01 Посмотреть сообщение
    Есть ли готовые решения проверяющие сайты на наличие подобных уязвимостей?
    Великолепный сканер Acunetix Web Vulnerability Scanner. Без дополнительных способов защиты лучше им не сканить (или сканить только своё) т.к. логи он засирает весьма заметно.
    • 0
  3. Дипломник
    • Регистрация: 15.07.2013
    • Сообщений: 189
    • Репутация: 43
    • Webmoney BL: ?
    Цитата Сообщение от shapit01 Посмотреть сообщение
    Какие еще опасности могут поджидать добродушного разработчика/вебмастера?
    Вы перечислили самое базовое. Веб-разработка больше похожа на минное поле

    - неправильное проектирование (например, можно проинклудить файл конфига и вывести в браузер)
    - поломали соседа по хостингу, через него сломали вас
    - дыры в CMS-ках (если не будете обновляться)
    - дыры в php (да-да, был такой случай)
    - поисковики индексируют приватные страницы
    и т.д.

    Цитата Сообщение от shapit01 Посмотреть сообщение
    Есть ли готовые решения проверяющие сайты на наличие подобных уязвимостей?
    Если №2 нет, то почему? Я бы с радостью не только проверил себя, но и своих конкурентов...
    Готовые есть, поищите по запросу "site scanner vulnerability". Когда-то давно мы брали программку с диска от журнала "Хакер" (честно, уже забыл название), тестировали сайт. Важный момент: эти сканеры забивают логи с космической скоростью. Я проверял локально, запустил на выходные, в понедельник утром жесткий был забит под завязку.

    Сканить конкурентов нельзя. Точнее, можно через 3 прокси с сервера в Австралии. :) Вы же не хотите объясняться в отделе "К"?...
    • 0
  4. Гуру Аватар для ohmygod
    • Регистрация: 30.04.2011
    • Сообщений: 1,064
    • Репутация: 268
    • Webmoney BL: ?
    Для базовой проверки подойдет Find-XSS-Fire (есть в виде плагина для Firefox).
    • 0

Похожие темы

Темы Раздел Ответов Последний пост
Массовая проверка тИЦ и PR
Прочее 6 01.09.2013 14:54
Проверка robots.txt
Вопросы от новичков 3 15.05.2013 16:42
Проверка баз
Другая работа 0 02.10.2011 20:08
Проверка тИЦ
Поисковые системы 20 02.05.2011 13:31

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры