Controllare robustezza sito

[dott104]

Da quando sviluppo siti sono sempre stato attento a progettarli e svilupparli, cercando di renderli il più sicuri possibili! Ma come ben sappiamo tutti è quasi impossibile rendere un sito impenetrabile!

Mi domandavo se esistesse una qualche lista di test da fare su di un sito per controllare si è buggato o no! Una sorta di checklist di controlli da fare!

Questo dubbio mi è venuto perchè sto sviluppando un nuovo sito, in php5, e in particolare, ora sto sviluppando la parte di registrazione dell'utente e gestione della login!

Voi seguite qualche lista, esiste un qualche sito che indichi come progettare e testare i nostri siti?

Ho letto su un blog di come si possando installare shell e ottenere permessi ftp su di un sito, grazie ad un bug su di una variabile? Cosa sono questo tipo di errori, come si scoprono, come si evitano?

Non vorrei pubblicare il mio sito e domani stesso vedermelo defacciato o peggio!

Thx

[thitan]

Originariamente inviato da dott104

Ho letto su un blog di come si possando installare shell e ottenere permessi ftp su di un sito, grazie ad un bug su di una variabile? Cosa sono questo tipo di errori, come si scoprono, come si evitano?

Non vorrei pubblicare il mio sito e domani stesso vedermelo defacciato o peggio!

bhè, quello credo sia possibile uploadando uno script..
esempio: tu all'utente gli dai la possibilità di mettersi un avatar personalizzato, ma quello invece che caricare un'immagine ti carica uno script php..

a me era successo ( ) perchè avevo appunto dimenticato di controllare il mime del file che uno mi caricava (nella fretta, controllavo solo l'estensione :rollo: )


poi controlla XSS ,
i soliti amicissimi sql injection..

poi credo che a livello di codice dovresti essere a un buon punto di protezione.. dimentico qualcosa?

[dott104]

Quindi bug di una variabile è da intendersi come mancato controllo dell'upload!?!?

Dato che nel sito che sto creando gli utenti devono poter uppare anche proprie foto, devo controllare questo tipo di "attacchi"!?!?

[thitan]

Originariamente inviato da dott104
Quindi bug di una variabile è da intendersi come mancato controllo dell'upload!?!?

Dato che nel sito che sto creando gli utenti devono poter uppare anche proprie foto, devo controllare questo tipo di "attacchi"!?!?

se l'utente potrà uppare dei file, si.. devi controllare che il file che uppa sia idoneo all'utilizzo (ad esempio se è per un avatar, solo jpg o gif)..

se no ti fai una lista con i tipi di file che non vuoi vengano uppati (php, exe, ecc..) e controlli che non sia uno di quelli..

per bug di una variabile non sò cosa intendi..

[dott104]

Originariamente inviato da thitan
se l'utente potrà uppare dei file, si.. devi controllare che il file che uppa sia idoneo all'utilizzo (ad esempio se è per un avatar, solo jpg o gif)..

se no ti fai una lista con i tipi di file che non vuoi vengano uppati (php, exe, ecc..) e controlli che non sia uno di quelli..

Ok, lo terrò presente!

Originariamente inviato da thitan
per bug di una variabile non sò cosa intendi..

Per la verità non lo so nemmeno io, è un termine usato nel post che ho letto! Secondo me è quello che hai detto tu, non ci sarà il controllo sul tipo di file uppato.

[thitan]

Originariamente inviato da dott104
Ok, lo terrò presente!




Per la verità non lo so nemmeno io, è un termine usato nel post che ho letto! Secondo me è quello che hai detto tu, non ci sarà il controllo sul tipo di file uppato.

cmq cerca bene su questo forum, ci sono un paio di pillole sulla sicurezza che vanno assolutamente lette!

[dott104]

Ho aggiunto al segnalibro l'indirizzo della guida alla sicurezza di questo sito e lo uso come fisso punto di riferimento!

La mia domanda era riferita all'esistenza o meno di un tool, programma, sito, qualcosa-di-già-fatto da usare per testare se ci siano bug nel sito! :P

Perchè penso che il mio testing sia buono, ma non so se riuscirò a coprire tutte le casistiche di attacco, dato che sono i primi siti che sto creando per "lavoro" e non per diletto! :P