Pełna wersja: [MySQL][PHP]Bezpieczeństwo strony
witam tak jak w temacie , chciałbym sprawdzić czy moja witryna jest bezpieczna , gdzie mam błędy itp . czy są narzędzia do takiego testowania stworzone (najlepiej pl)? jeśli nie to w jaki sposób mógłbym przetestować swoją witrynę na podatność ataków..
poczytaj o sql injection, staraj sie tez w zmienne wcisnac html i zobacz jak to bedzie skutkowac, przeslij tablice zamiast inta itd, postaraj sie wylac kod php na serwer, jest mase metod ciezko to tak opisac zalezy co masz w tej swojej stronce...
Najlepiej jakbyś dał adres strony, my przetestujemy ;>
czytałem o sql injectioni nic to nie dało .. bawiłem się w hackme gdzie nawet nie mogłem przejśc 1 poziomu..
Najlepszym sposobem na sprawdzenie czy strona ma luki typu SQL Injection jest dodawanie "-" przed zmienną w GET, czyli adresstrony.pl/link=10 to sprawdzamy adresstrony.pl/link=-10 i jak wywali błąd to bardzo prawdopodobne, że strona jest podatna na ten typ ataku. Pierwszy poziom w hackme jest banalny 
www.moja.strona.pl/index.php?page=-10 - przekierowuje mnie na witrynę którą podałem w kodzie 
a jak ustawisz:
www.moja.strona.pl/index.php?page=
www.moja.strona.pl/index.php?page=%
i nie patrz tylko na jeden GET, wszystkie trzeba sprawdzać ;]
www.moja.strona.pl/index.php?page=
www.moja.strona.pl/index.php?page=%
i nie patrz tylko na jeden GET, wszystkie trzeba sprawdzać ;]
tak samo następuje przekierowanie
Jak chcesz sprawdzić pod kątem XSS to możesz spróbować tego XSSer
A tu masz różne narzędzia :
http://www.acunetix.com/
http://www.gfi.com/lannetscan
http://sectools.org/web-scanners.html (10 różnych narzędzi)
http://www.nessus.org/nessus/
http://www.beyondsecurity.com/vulnerability-scanner.html
swego czasu sprawdzałem jak działają i nie byłem z nich zadowolony ale może tobie uda się coś z nich wyciągnąć
A tu masz różne narzędzia :
http://www.acunetix.com/
http://www.gfi.com/lannetscan
http://sectools.org/web-scanners.html (10 różnych narzędzi)
http://www.nessus.org/nessus/
http://www.beyondsecurity.com/vulnerability-scanner.html
swego czasu sprawdzałem jak działają i nie byłem z nich zadowolony ale może tobie uda się coś z nich wyciągnąć
Cytat
a jak ustawisz:
www.moja.strona.pl/index.php?page=
www.moja.strona.pl/index.php?page=%
i nie patrz tylko na jeden GET, wszystkie trzeba sprawdzać ;]
www.moja.strona.pl/index.php?page=
www.moja.strona.pl/index.php?page=%
i nie patrz tylko na jeden GET, wszystkie trzeba sprawdzać ;]
Cytat(Ulysess @ 11.07.2010, 16:09:38 ) 
tak samo następuje przekierowanie
page=
page=%
Na co Cię przekieruje?
Jeżeli w kodzie używałeś include() lub innych podobnych funkcji to zobacz czy używałeś GET do określenia strony.
tak jak kolega napisal gdybys podal adres bylo by o wiele latwiej zlokalizowac luki bo nieraz z kilku prostych nic nie dajacych mozna sie dostac do serwera...
a podaj cos takiego www.moja.strona.pl/index.php?page[]=1
w sesji podaj tablice jest sporo sztuczek na uzyskanie sciezek serwerowych...
a podaj cos takiego www.moja.strona.pl/index.php?page[]=1
w sesji podaj tablice jest sporo sztuczek na uzyskanie sciezek serwerowych...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.