Prevenire attacchi hacker

[andreto]

Buongiorno a tutti,
stavo scrivendo il codice per il form login però mi sono fermato pensando ai vari attacchi che potrebbe subire il mio sito.

Ieri ho letto centinaia di pagine su internet accorgendomi dell'esistenza di moltissimi attacchi diversi da parte di hacker.

Per ora ho pensato a:
sql-injection
brute-force
codice captcha
password criptate nel db
dati sensibili inviati tramite post

Considerando che è impossibile la sicurezza totale e che gli attacchi potrebbero essere infiniti, da quali altri varrebbe la pena proteggersi?

A cosa dovrei fare particolare attenzione?

Grazie

[ciro78]

Se per dati sensibili intendi la carta di credito più che POST che è su HTTP sarebbe il caso di utilizzare il protocollo HTTPS

[andreto]

Non intendevo carte di credito, il sito sarà gratuito.
Alcune delle mie paure sono che qualcuno potrebbe rendere inutilizzabile il sito o peggio eliminare dati contenuti nel database oppure fare spam.

Oltre ai metodi citati nel messaggio 1, quale altra protezione sarebbe meglio includere?

Grazie

[boots]

Se il tuo sito prevede utenti (e relative modifica dati, messaggi utenti, etc), dovresti vedere anche il cross site scripting ed il form tampering

[andreto]

Se il tuo sito prevede utenti (e relative modifica dati, messaggi utenti, etc), dovresti vedere anche il cross site scripting ed il form tampering

Grazie,
stasera ho approfondito il cross site scripting tramite documenti e video,
domani studierò il form tampering

Ciao e grazie

[andreto]

Se il tuo sito prevede utenti (e relative modifica dati, messaggi utenti, etc), dovresti vedere anche il cross site scripting ed il form tampering

Ho Googlato per un'ora ma non ho trovato nulla che mi faccia capire bene il form tampering.

Potresti spiegarmi questo tipo di attacco e come possono metterlo in pratica?

Grazie

[SimoX90]

Come spesso succede in questi casi, "form tampering" non indica un'unica tecnica, ma piuttosto tutto un insieme di metodi per ottenere dati che non si dovrebbero ottenere.
In generale, il form tampering prevede la manipolazione (es. via javascript dalla console) dei campi input, button, ecc. per far fare al programma ciò che si desidera.

Le due "tecniche" principali sono:
-l'utilizzo degli input hidden già presenti per arrivare a ottenere dati (hidden field manipulation)
http://www.dummies.com/how-to/conten...plication.html (l'esempio del prezzo che viene modificato è molto chiarificatore, si capisce cosa è sicuro salvare nei campi hidden e cosa no)

-una falla di html5, che non ho capito appieno perché il materiale è pochissimo, riassumo e spero che qualcuno possa essere più chiaro. (Giusto un appunto, ma non dice molto: http://lists.w3.org/Archives/Public/...1Aug/0033.html)
In html5 è permesso (???) inserire pulsanti button fuori dal form di riferimento (???), e quindi si possono "deviare" i dati verso una action diversa da quella del form.

Qui altro materiale interessante anche se non aggiornatissimo (valido per html4):
http://www.slideshare.net/guestc27cd9/form-tampering

[andreto]

Come spesso succede in questi casi, "form tampering" non indica un'unica tecnica, ma piuttosto tutto un insieme di metodi per ottenere dati che non si dovrebbero ottenere.
In generale, il form tampering prevede la manipolazione (es. via javascript dalla console) dei campi input, button, ecc. per far fare al programma ciò che si desidera.

Le due "tecniche" principali sono:
-l'utilizzo degli input hidden già presenti per arrivare a ottenere dati (hidden field manipulation)
http://www.dummies.com/how-to/content/hidden-field-manipulation-hacks-in-web-application.html (l'esempio del prezzo che viene modificato è molto chiarificatore, si capisce cosa è sicuro salvare nei campi hidden e cosa no)

-una falla di html5, che non ho capito appieno perché il materiale è pochissimo, riassumo e spero che qualcuno possa essere più chiaro. (Giusto un appunto, ma non dice molto: http://lists.w3.org/Archives/Public/public-html-comments/2011Aug/0033.html)
In html5 è permesso (???) inserire pulsanti button fuori dal form di riferimento (???), e quindi si possono "deviare" i dati verso una action diversa da quella del form.

Qui altro materiale interessante anche se non aggiornatissimo (valido per html4):
http://www.slideshare.net/guestc27cd9/form-tampering

Il PRIMO l'ho capito, il SECONDO no.

Quindi se nel sito non sono presenti campi input hidden non devo tenerne conto del form tampering?
Qualcuno sa spiegarmi cosa potrebbe succedere spostando un bottone fuori dal form nell'HTML?

Grazie