Pagina 3 di 3 primaprima 1 2 3
Visualizzazione dei risultati da 21 a 25 su 25
  1. #21
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,445
    Quote Originariamente inviata da webus Visualizza il messaggio
    Beh, lui ha chiesto di "testare" il sito. Mi pare chiaro che la sua richiesta non si limitasse a un parere personale sul layout... debugging e magagne oggi non possono prescindere da un check sulla sicurezza. Su questo spero converrai.

    Riguardo i falsi positivi non sta a me verificarli, personalmente però non ne ho riscontrati con Zap mentre mi è successo spesso con altre piattaforme, pure a (lauto) pagamento.

    Sta poi ad Alhazred valutare come procedere, certo che se, ad esempio, vuole avere A+ sulle header, meglio mettere mano al codice ora che dover poi reimbarcarsi in una radicale revisione del sito.
    Tranquilli, vi ho detto di maltrattarlo se volete, tanto alla fine faccio un resettone.

  2. #22
    Utente di HTML.it L'avatar di SkyLinx
    Registrato dal
    Jun 2017
    residenza
    Espoo, Finland
    Messaggi
    60
    Devi sistemare qualcosa per CSP altrimenti gli script inline e da altre origini non funzionano. Guarda nella console del tuo browser quando carichi le pagine.


    Quote Originariamente inviata da Alhazred Visualizza il messaggio
    Usando un ORM (Eloquent) dovrebbe pensarci lui a queste cose, ma verificherò la presenza di qualche query "raw"
    Gli ORM moderni minimizzano e parecchio, oggi giorno, i rischi SQLi ma non li eliminano perche' comunque dipende da come li usi.

    Cmq a meno che mi sia perso qualcosa, da una occhiata veloce manuale e con SQLMap non vedo SQLi sfruttabili sul tuo sito.

    Zap mostra alcuni esempi che vengono identificati come possibili SQLi ma in realta' sono falsi positivi perche' confonde i parametri c_req e c_stat usati nel form dei cookie, come parametri per il contact form... ma non lo sono. E' probabile che cio' accada per via dello stesso CSRF token usato su entrambi i form.
    The only way to stay sane is to go a little crazy. - Susanna Kaysen

  3. #23
    Utente di HTML.it L'avatar di SkyLinx
    Registrato dal
    Jun 2017
    residenza
    Espoo, Finland
    Messaggi
    60
    Quote Originariamente inviata da webus Visualizza il messaggio
    debugging e magagne oggi non possono prescindere da un check sulla sicurezza. Su questo spero converrai.
    Riguardo i falsi positivi non sta a me verificarli
    Certo, sono d'accordo sul check sulla sicurezza -ovvio- ma eventuali "potenziali" vulnerabilita' identificate da uno scanner vanno verificate prima di essere comunicate...


    , personalmente però non ne ho riscontrati con Zap mentre mi è successo spesso con altre piattaforme, pure a (lauto) pagamento.
    TUTTI gli scanner hanno falsi positivi. TUTTI sia free che a pagamento.
    The only way to stay sane is to go a little crazy. - Susanna Kaysen

  4. #24
    Quote Originariamente inviata da Alhazred Visualizza il messaggio
    Effettivamente adesso è A+
    good job. Ok, avevi accesso alle configurazioni del server (e non hai usato inline js).
    Qualunque imbecille può inventare e imporre tasse. (Maffeo Pantaleoni)

  5. #25
    Quote Originariamente inviata da SkyLinx Visualizza il messaggio
    ...eventuali "potenziali" vulnerabilita' identificate da uno scanner vanno verificate prima di essere comunicate...
    Questo sì che avrei dovuto farlo dietro esplicito permesso. La mia intenzione era solo far notare le criticità, non risolverle, cosa che Alhazred è certamente in grado di fare da solo.

    Il risultato è stato che il sito ora è più sicuro e, auspicabilmente, anche qualcun altro ne ha tratto utili indicazioni e ne ha preso nota.
    Ultima modifica di webus; 23-10-2018 a 20:19
    Qualunque imbecille può inventare e imporre tasse. (Maffeo Pantaleoni)

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.