Чем проверить безопасность сайта?

Question

Konstantin @SatanaKonst

Чем проверить безопасность сайта?

Разрабатываем сайт с обменом из 1С.
Вопрос как проверить безопасность сайта на наличие взлома или утечки данных?

На данный момент следующим образом подошел к данному вопросу.
Все сервисы разнес на контейнеры, авторизация пользователей не стороне cms, обмен закрыт двойной авторизацией с фильтрацией по ip адресу, пароли для пользователей от 8 символов разного регистра и спец символами, фильтрация входных дынных на формах, типизация данных в обмене использование ORM для работы в базой.
Дополнительно код сканируется SonarQube и на этапе бэты будет проведено сканирование через OwaspZap.

Что дополнительно можно использовать, чтобы минимизировать возможность сливания данных?

Вопрос задан более трёх лет назад
208 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Решения вопроса 1

10 комментариев

Konstantin @SatanaKonst Автор вопроса

Это дорого. Заказчик не потянет. Поэтому если есть еще какие-то варианты, то было бы круто узнать.

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov Куратор тега Веб-разработка

Если это дорого для заказчика, то ценность информации невелика и можно остановиться на том, что вы уже сделали. Автоматические проверки - это только вершина айсберга и они спасают от каких-то очевидных вещей.

Написано более трёх лет назад
Konstantin @SatanaKonst Автор вопроса

Алексей Уколов, в том то и дело, что информация это персональные данные (паспорта, страховки, кредиты и т.д)

Написано более трёх лет назад
Василий Банников @vabka Куратор тега Веб-разработка

Konstantin, ну заказчик же не идиот (ха) - наверняка посчитал риски и сравнил с тратами на аудит - значит его устраивает имеющаяся ситуация

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov Куратор тега Веб-разработка

Тогда заказчику дешевле найти денег на компетентный аудит, чем потом разгребать проблемы. Варианта "хорошо и дёшево" в данной ситуации не существует.

Написано более трёх лет назад
Konstantin @SatanaKonst Автор вопроса

Василий Банников, есть сомнения. Они хотели на тестовый стенд боевые данные выкидывать :) Еле продавили, что надо обезличенные данные хотя бы грузить.

Алексей Уколов, это понятно. Просто решил узнать может есть еще какие-то варианты перестраховаться, не вкидывая лям в аудит

Написано более трёх лет назад
hint000 @hint000

Konstantin,
не вкидывая лям в аудит
Аудит одного сайта вряд ли потянет на лям. Скорее всего, в несколько раз дешевле.

Написано более трёх лет назад
Konstantin @SatanaKonst Автор вопроса

hint000, местная контора которая занимается этим такой прайс выкатила.
Мы еще конечно приценимся у других, но +- надо на такой формат ориентироваться т.к. если по хорошему делать, то проверки надо минимум 2 делать.

Написано более трёх лет назад
hint000 @hint000

Konstantin, можно не местные конторы поискать, им же физический доступ к серверу не нужен.

Иногда бывает, что контора не хочет или не может выполнять какую-то работу (специалист уволился и т.п.), но чтобы не признаваться в этом, могут выставить сильно завышенный ценник - клиенты должны сами отказаться.

Написано более трёх лет назад
Дядька Серёжа @Protos

Konstantin, https://ru.jooble.org/работа-пентестер

Написано более трёх лет назад