Devi sistemare qualcosa per CSP altrimenti gli script inline e da altre origini non funzionano. Guarda nella console del tuo browser quando carichi le pagine.
Gli ORM moderni minimizzano e parecchio, oggi giorno, i rischi SQLi ma non li eliminano perche' comunque dipende da come li usi.
Cmq a meno che mi sia perso qualcosa, da una occhiata veloce manuale e con SQLMap non vedo SQLi sfruttabili sul tuo sito.
Zap mostra alcuni esempi che vengono identificati come possibili SQLi ma in realta' sono falsi positivi perche' confonde i parametri c_req e c_stat usati nel form dei cookie, come parametri per il contact form... ma non lo sono. E' probabile che cio' accada per via dello stesso CSRF token usato su entrambi i form.
The only way to stay sane is to go a little crazy. - Susanna Kaysen
Certo, sono d'accordo sul check sulla sicurezza -ovvio- ma eventuali "potenziali" vulnerabilita' identificate da uno scanner vanno verificate prima di essere comunicate...Riguardo i falsi positivi non sta a me verificarli
TUTTI gli scanner hanno falsi positivi. TUTTI sia free che a pagamento., personalmente però non ne ho riscontrati con Zap mentre mi è successo spesso con altre piattaforme, pure a (lauto) pagamento.
The only way to stay sane is to go a little crazy. - Susanna Kaysen
Questo sì che avrei dovuto farlo dietro esplicito permesso. La mia intenzione era solo far notare le criticità, non risolverle, cosa che Alhazred è certamente in grado di fare da solo.
Il risultato è stato che il sito ora è più sicuro e, auspicabilmente, anche qualcun altro ne ha tratto utili indicazioni e ne ha preso nota.
Ultima modifica di webus; 23-10-2018 a 20:19
Qualunque imbecille può inventare e imporre tasse. (Maffeo Pantaleoni)