1. घर
  2. सवाल और जवाब
  3. वेब अनुप्रयोगों पर सुरक्षा भेद्यता के लिए परीक्षण

वेब अनुप्रयोगों पर सुरक्षा भेद्यता के लिए परीक्षण

2010-05-10 26 views
5

बहुत सी कंपनियां सीएमएस सॉफ़्टवेयर का उपयोग करती हैं जो नियमित रूप से अपडेट होती है, अक्सर वे सुरक्षा सुधार होते हैं, जिसका अर्थ यह है कि पिछले संस्करण में सुरक्षा भेद्यताएं हैं। लेकिन अधिकांश क्लाइंट इसे कभी अपग्रेड नहीं करते हैं, या यहां तक ​​कि सीएमएस को संशोधित किया गया है ताकि एक अपडेट साइट को तोड़ देगा। क्या ऐसी साइटें हैं जो इन शोषणों को दस्तावेज करती हैं, और निर्देश देती हैं कि उनके लिए परीक्षण कैसे करें? या यह जानकारी भी प्रकाशित नहीं होती है? (लोगों को उनका शोषण करने की कोशिश न करने के लिए)वेब अनुप्रयोगों पर सुरक्षा भेद्यता के लिए परीक्षण

हैक प्रयासों को रोकने के लिए एक सामान्य PHP/जेएस आधारित चेक सूची भी है? मुझे एसक्यूएल इंजेक्शन और एक्सएसएस के बारे में पता है, लेकिन मुझे यकीन है कि वहां और अधिक खतरे हैं।

शांति

स्रोत

2010-05-10 Moak

+0

आप थोड़ी देर के लिए चारों ओर googling की कोशिश की है? इस सामान पर बहुत सारे ब्लॉग हैं। आप वेबसाइटों का परीक्षण करने के लिए अर्द्ध स्वचालित हमले सूट भी खरीद सकते हैं। –

उत्तर

3

साइटों जो सूची इन सब कमजोरियों उदाहरण के लिए कर रहे हैं

  • SecurityFocus
  • milW0rm
  • packetstormsecurity

webapps के लिए बुनियादी चेकलिस्ट OWASP पर पाया जा सकता , जो एक बहुत ही सामान्य चेकलिस्ट है।

http://www.owasp.org/index.php/Top_10_2010-Main

स्रोत

2010-05-10 11:22:17 Henri

+0

उत्कृष्ट, milW0rm और packetstormsecurity बहुत प्रमोशन लग रहा है – Moak

3

एसक्यूएल इंजेक्शन और XSS हमलों दोनों में सभी जानकारी जो आपके कोड पर हो रही है (addslashes, टैग हटा "" और इसी तरह) को पार्स द्वारा हल कर रहे हैं; मैजिक कोट्स इम्यूलेशन और रजिस्टर_ग्लोबल्स ने मेरे दृष्टिकोण से समस्याओं को हल किया। सावधान रहें, बिल्कुल सही समय पर नहीं जानते, लेकिन magic_quotes को बहिष्कृत किया जाएगा, इसलिए उस पर भरोसा न करें।

तो वे अन्य खतरे क्या हैं? मेरे अनुभव से, सबसे आम मानव गलतियों प्रमाणीकरण से संबंधित हैं। इसका मतलब यह नहीं है कि उपयोगकर्ता लॉग इन नहीं करता है, लेकिन इसका मतलब है कि कोई उपयोगकर्ता अन्य उपयोगकर्ताओं के लिए जानकारी पढ़/लिख सकता है। इसलिए, जब भी आप इस तरह एक डिलीट लिंक देखते हैं: index.php? पेज = छवियाँ & कार्रवाई = & आईडी = 2 हटाएं, किसी अन्य उपयोगकर्ता की छवि के किसी अन्य आईडी के साथ प्रयास करें। आपको "आपकी छवि नहीं" या कुछ त्रुटि कहानियां मिलनी चाहिए। यह जांचना बहुत मुश्किल है, इसलिए आपको डेवलपर के अनुभव पर भरोसा करना चाहिए।

मेरी दूसरी सबसे बड़ी समस्या कोड से संबंधित नहीं थी लेकिन सर्वर से संबंधित थी। एफ़टीपी पासवर्ड वायरस (आईफ्रेम वायरस और अन्य) द्वारा चुराया गया, या सर्वर को विभिन्न ब्रूट फोर्स विधि का उपयोग करके हैक किया गया था।

निष्कर्ष यह है कि: यदि आप सुनिश्चित हैं कि आपने एसक्यूएल इंजेक्शन और एक्सएसएस हमलों के लिए जांच की है, तो आखिरी चीज आपको प्रमाणीकरण समस्या को हल करना है (एक बार फिर, प्रमाणीकरण का मतलब है कि आपको जो जानकारी मिलती है/बदलती है)। लोग सुरक्षा मुद्दों के बारे में थोड़ा उलझन में रहते हैं लेकिन सबसे आम हैक डेवलपर की गलती नहीं हैं।

उम्मीद है कि इससे मदद मिलती है;

शुभकामनाओं सहित, गेब्रियल

स्रोत

2010-05-10 11:31:48

+1

सीएसआरएफ का उल्लेख करना भूल गया, जो आजकल बहुत ही लोकप्रिय है। विशेष रूप से क्योंकि समाधान xss/sqli के रूप में सीधा नहीं है – Henri

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे