sikkerhed - Søger Hacker til at teste sikkerhed - Udvikleren.dk

Tags: sikkerhed

Bruger #16669 @ 27.08.11 15:13

Hej alle, er igang med et community.

Vil gerne have testet sikkerheden af login, registrering, gæstebog, profiltekst og billedegalleri

Jeg håber der er nogen der "gider" at hjælpe mig med dette

6 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 9 karma

Sorter efter stemmer Sorter efter dato

Bruger #14381 @ 27.08.11 16:24

319

Danieles ligger godt ud men der er så meget mere til det.

Du bør fx også anvende en "salt" sammen med hashen i dine passwords, og evt tjekke sikkerheden på selve den server du kører på. Der også sikkerhed med andre brugere på samme server. Og nej forvent ikke at fordi du betaler nogle for en server at de så automatisk kan finde ud af dette (Hvad host har du?).

Sørg for dine database passwords er stærke, og hvis du kan så slå unødvendige PHP / Apache / IIS moduuler fra.

Der er også ting som session hijacking, cross site scripting og et utal af andre problemer.

I sidste ende kan det koges ned til følgende:
Hvor meget er siden værd for en hacker?

Og er det kun dig og din server, eller også brugerne der kan være udsat?
Hvis siden kun er lige hvad du beskriver der og mest et hygge projekt så er Danieles forslag oftest nok. Hvis du vil skrue sikkerheden op en tand så kig ind i mine også.

Leg evt lidt med WASP_WebGoat_Project">https://www.owasp.org/index.php/Category

WASP_WebGoat_Project og få en forståelse af IT Sikkerhed. http://hackthissite.org/ er også en god kilde til at lære sikkerhed generelt.

Jeg ved godt det ikke er de sider de fleste vil anbefale dig, men nu er jeg en tilhænger af "offensive security"

Indlæg senest redigeret d. 27.08.2011 16:27 af Bruger #14381

Bruger #16025 @ 27.08.11 16:08

442

Det handler jo bare om beskyttelse imod SQL Injection's bla.
Det kan du sikre med bla. disse metoder:

PHP kode

 stripslashes()
 mysql_real_escape_string()
 htmlspecialchars()

Ved login-system samt registrering, brug sha1() i password:

PHP kode

 sha1()

Som eksempel, i en post funktion:

PHP kode

 if(isset($_POST["login"])) {
     $username = mysql_real_escape_string($_POST["username"]);
     $password = mysql_real_escape_string(sha1($_POST["password"]));
 }

Indlæg senest redigeret d. 27.08.2011 16:11 af Bruger #16025

Bruger #1151 @ 27.08.11 22:33

421

Hej

Læs http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php :-) hvis du blot har en mysql_query så skal du til at tænke kraftigt over at skifte over til paramatiserede forespørgsler!! Det er altid en god start hvis du vil højne sikkerheden.

Bruger #15611 @ 27.08.11 22:57

Hej Patrick.

Det kan på ingen måde betale sig at hyre en hacker (Cracker er det jo), til at åbne for dit site, da det koster en formue for de dygtige.

Men, så længe du køre stilen med at strip_tags, mysql_real_escape_string osv osv osv osv, så har du taget det værste i opløbet.

Bruger #5582 @ 28.08.11 00:43

266

Du kan kigge lidt på Hackavoid

Bruger #2695 @ 28.08.11 16:32

1.963

Og så skal du beskytte imod cross site scripting og cross site request forgeries og local/remote file inclusion, og brute forcing, og session hijacking, og dårlige passwords, og .....

SQL injection er kun ét problem, man skal være opmærksom på. Er det seriøst, så kontakt et firma som laver den slags tests.

Søger Hacker til at teste sikkerhed

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler