Всем привет! Скоро собираюсь запускать личный проект, и перед запуском хотелось бы его протестировать на дыры и уязвимости.
Дело в том, что проект большой, функционала много и все завязано на БД. Т.к. это мой первый проект, который я самостоятельно довел до конца, то уверен на 99% что есть дыры и баги. Плюс ко всему, разработка велась не на популярном фреймворке, не на cms, а на обычном микрофреймворке, в котором изначально была концепция mvc, авторизация и некоторые другие плюшки.
Какие дыры могут быть на сайтах?
Например, от инъекций я использую PDO, от фейковых запросов я в почтовых формах использую CSRF токены (в ajax-запросах не использую, надо ли?)
Что еще нужно проверить, есть ли какой-нибудь чек лист?
Плюс основной функционал закрыт для гостей (грубо говоря для них сайт в рид онли)
перед запуском хотелось бы его протестировать на дыры и уязвимости.
для этого нанимаете спеца, который пытается его ломануть и дает отчет о уязвимостях.
а на обычном микрофреймворке, в котором изначально была концепция mvc
а потом mcv куда-то пропало?
Какие дыры могут быть на сайтах?
Самые разные. Вы ожидаете что кто-то знание целой индустрии уложит в 1 предложение? Это как спросить "ребят подскажите как сделать машину своими руками?"
грубо говоря для них сайт в рид онли
любой сайт рид онли по сути. Если проект большой, значит и бюджет есть. Наймите не дорогого спеца на фрилансе, который укажет Вам на дыры очевидные. Если Вы не знаете с чего начать, значит наши ответы не особо помогут Вам, что бы его хорошо оттестировать.
Так а от нас вы чего хотите?
- Прочтенный курс по безопасности WEB интерфейсов и конфигурации серверного ПО?
- Ссылку на контору занимающуюся тестированием?
А так, идите по чеклисту состоящему из одного пункта "золотого правила" - "проверяй всё что поступает от клиентов"
1. Все функции написанные вами и с которые попадает любое что вводит клиент или может быт послано клиентом любым другим способом (GET/POST/PUT/DELETE и т.д.), причем не только то что сами написали но и обработку этого всего в фреймворке.
Простой