@qwestion

Как можно проверить код на безопасность?

Есть куча разного кода, весом около 1.2мб, хочется его проверить но не знаю где и как..

Используется:
конвектированный html
конвектированный css
php, mysql, js.
Выкладывать код как-то не хочется, так точно безопасность пострадает.

В коде используются рег. выражения. Фильтрация от опасных символов.
Ну и валидатор. Но может еще как-то можно пробить защиту, что касается xss.

Еще знаю есть CSRF, еще не защищался от него, но знаю как.. Токен с солью, вопрос в другом, где его использовать? В урл ? К примеру при передачи формы, там в форме есть атрибут "значение" в этом атрибуте генирируется хеш, и записывается в базу, после того, как пользователь отправил... Сервер проверяет значение хеша, сверяет и выносит вердикт... А где еще его надо использовать?

ddos вроде как тоже не интересен, защита есть.. если пользователь часто обновляет или запрашивает стр. его банит на 5-10 сек "а какое время выбрали вы"

От подбора пароля тоже есть, 3 попытки и капча, после еще 3 попытки и заморозка на 10 мин.. или смс подтверждение "еще не решил, может сразу 2"

Защита сервера, об этом пускай владелец парится.
Какие атаки еще есть? Которые касаются только web, шпионы, воры итд, не относятся...
  • Вопрос задан
  • 3779 просмотров
Пригласить эксперта
Ответы на вопрос 5
@mamkaololosha
Закажите взлом.
Ответ написан
FanatPHP
@FanatPHP
Чебуратор тега РНР
Фильтрация от опасных символов.


Можно не проверять. Сайт дырявый.
Ответ написан
gbg
@gbg Куратор тега Программирование
Любые ответы на любые вопросы
Выкладывать код как-то не хочется, так точно безопасность пострадает.

Если от выкладывания кода может пострадать его безопасность, он нарушает Принцип Керкгоффса, а значит, должен быть отправлен на помойку.
В корректно написанных приложениях даже полностью открытый код не должен давать злоумышленнику никаких шансов.
Ответ написан
Neuroware
@Neuroware
Программист в свободное от работы время
Код небезопасен! :) Безопасного кода не существует, если в нем есть хоть 1 байт кода то в нем полюбому есть баги, которые можно эксплуатировать. Потестить "на популярные" дыры могут на заказ люди, которые на этом специализируются, стоит обычно не дешего.
По поводу DDoS вы думаете что защититесь от атаки "баня" нарушителя? Советую поискать статью на хабре по атаке на сайт заказа пиццы, там не то что сайт, там провайдеру поплохело от атаки, и атака такого масштаба на текущий момент не проблема, бот сетей куча и устроить такое могут многие.
Ответ написан
@SilverSlice
Можете потестировать ваш сайт сканерами безопасности, пока будете в них разбираться, как раз узнаете, какие ещё существуют атаки.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы