Vi va di testare un sito?

[SkyLinx]

Hai provato a modificarlo e te l'ha fatto fare o hai solo potuto abilitare il campo nel form?

Si', l'ho potuto cambiare.

Perché ne sei il creatore, un utente che non l'ha creato e che dovesse azzeccare il codice del tuo viaggio non potrebbe modificarlo senza la pass.

Ho aperto il viaggio dallo stesso url nella email notification, in una finestra incognito, quindi non loggato. Ho potuto editare il viaggio.

[Alhazred]

Si', l'ho potuto cambiare.

Questo l'ho sistemato, era errato il valore di default del flag.

Ho aperto il viaggio dallo stesso url nella email notification, in una finestra incognito, quindi non loggato. Ho potuto editare il viaggio.

Questo non mi riesce di riprodurlo.
Creo un viaggio e vi associo una passowrd, apro il link in un browser diverso come utente non registrato e se non inserisco la pass o la inserisco sbagliata non me lo fa editare.

[webus]

- Pagina del profilo: gli elementi sono troppo sparpagliati, l'occhio tende a vagare senza sapere dove fermarsi.

- Anche a me piacciono i loghi piccoli, ma quello non si presta molto.

Mi sono anche permesso di fare un check sulla sicurezza e ho trovato alcune criticità:

1 di livello grave: possibili SQL Enjection
2 di livello medio:
- Application Error Disclosure
- X-Frame-Options Header Not Set
5 di livello light:
- Cookie No HttpOnly Flag
- Cookie Without Secure Flag
- Incomplete or No Cache-control and Pragma HTTP Header Set
- Intestazione X-Content-Type-Options mancante
- Protezione XSS del Browser Web non abilitato Summary

- Infine Security Headers Report, la F è un risultato molto povero, ma avendo parlato di piccolo sito e se non hai a disposizione un tuo server ti sarà impossibile arrivare a una A+.

[neo1976]

- Pagina del profilo: gli elementi sono troppo sparpagliati, l'occhio tende a vagare senza sapere dove fermarsi.

- Anche a me piacciono i loghi piccoli, ma quello non si presta molto.

Mi sono anche permesso di fare un check sulla sicurezza e ho trovato alcune criticità:

1 di livello grave: possibili SQL Enjection
2 di livello medio:
- Application Error Disclosure
- X-Frame-Options Header Not Set
5 di livello light:
- Cookie No HttpOnly Flag
- Cookie Without Secure Flag
- Incomplete or No Cache-control and Pragma HTTP Header Set
- Intestazione X-Content-Type-Options mancante
- Protezione XSS del Browser Web non abilitato Summary

- Infine Security Headers Report, la F è un risultato molto povero, ma avendo parlato di piccolo sito e se non hai a disposizione un tuo server ti sarà impossibile arrivare a una A+.

per me è arabo, cmq complimenti.

[neo1976]

Alhazared a livello di back-end conosco ben poco, quindi non posso pronunciarmi, a livello di grafica avrei fatto di più sul tuo sito, è un po troppo essenziale e scarna per i miei gusti, hai mai pensato di collaborare con un web designer?

[SkyLinx]

- Pagina del profilo: gli elementi sono troppo sparpagliati, l'occhio tende a vagare senza sapere dove fermarsi.

- Anche a me piacciono i loghi piccoli, ma quello non si presta molto.

Mi sono anche permesso di fare un check sulla sicurezza e ho trovato alcune criticità:

1 di livello grave: possibili SQL Enjection
2 di livello medio:
- Application Error Disclosure
- X-Frame-Options Header Not Set
5 di livello light:
- Cookie No HttpOnly Flag
- Cookie Without Secure Flag
- Incomplete or No Cache-control and Pragma HTTP Header Set
- Intestazione X-Content-Type-Options mancante
- Protezione XSS del Browser Web non abilitato Summary

- Infine Security Headers Report, la F è un risultato molto povero, ma avendo parlato di piccolo sito e se non hai a disposizione un tuo server ti sarà impossibile arrivare a una A+.

Sembra tu abbia fatto lo scan con Zap. Spesso ha dei false positives pero' soprattutto con SQLi. Fai qualche verifica manuale e/o con SQLMap.

[Alhazred]

Sembra tu abbia fatto lo scan con Zap...

Sì, lo ha fatto!
Mi è arrivata una sfilza di email

Comunque grazie per i feedback, li tengo tutti in considerazione e un po' alla volta verifico/sistemo tutto.

[SkyLinx]

Sì, lo ha fatto!
Mi è arrivata una sfilza di email

Tecnicamente avrebbe dovuto chiederti il permesso prima... Cmq tra le cose da fare aggiungici rate limiting.

[webus]

Tecnicamente avrebbe dovuto chiederti il permesso prima... Cmq tra le cose da fare aggiungici rate limiting.

Beh, lui ha chiesto di "testare" il sito. Mi pare chiaro che la sua richiesta non si limitasse a un parere personale sul layout... debugging e magagne oggi non possono prescindere da un check sulla sicurezza. Su questo spero converrai.

Riguardo i falsi positivi non sta a me verificarli, personalmente però non ne ho riscontrati con Zap mentre mi è successo spesso con altre piattaforme, pure a (lauto) pagamento.

Sta poi ad Alhazred valutare come procedere, certo che se, ad esempio, vuole avere A+ sulle header, meglio mettere mano al codice ora che dover poi reimbarcarsi in una radicale revisione del sito.

[Alhazred]

- Pagina del profilo: gli elementi sono troppo sparpagliati, l'occhio tende a vagare senza sapere dove fermarsi.
- Anche a me piacciono i loghi piccoli, ma quello non si presta molto.

In coda per essere rivisti

1 di livello grave: possibili SQL Enjection

Usando un ORM (Eloquent) dovrebbe pensarci lui a queste cose, ma verificherò la presenza di qualche query "raw"

2 di livello medio:
- Application Error Disclosure
- X-Frame-Options Header Not Set

Ora dovrebbero essere a posto

5 di livello light:
- Cookie No HttpOnly Flag

L'unico non httponly dovrebbe essere quello per la privacy policy che è gestito anche da JS, gli altri dovrebbero essere a posto.

- Cookie Without Secure Flag
- Incomplete or No Cache-control and Pragma HTTP Header Set
- Intestazione X-Content-Type-Options mancante

Sistemati anche questi tranne il cache-control, devo rivederlo.

- Infine Security Headers Report, la F è un risultato molto povero, ma avendo parlato di piccolo sito e se non hai a disposizione un tuo server ti sarà impossibile arrivare a una A+.

Effettivamente adesso è A+