많은 회사에서 정기적으로 보안 업데이트를 수행하는 CMS 소프트웨어를 사용합니다. 이는 이전 버전에 보안 취약점이 있다는 것을 의미합니다. 그러나 대부분의 클라이언트는이 파일을 업그레이드하지 않으며 CMS가 수정되어 업데이트로 인해 사이트가 손상 될 수 있습니다. 이러한 익스플로잇을 문서화 한 사이트가 있으며이를 테스트하는 방법을 알려주십시오. 아니면이 정보가 게시되지 않습니까? (사람들이 악용하려고 시도하지 않도록)웹 응용 프로그램의 보안 취약성 테스트
또한 해킹 시도를 막기위한 일반적인 php/js 기반 체크리스트가 있습니까? 나는 SQL 인젝션과 XSS에 대해 알고 있지만, 거기 엔 더 많은 위협이있을 것이라고 확신한다.
평화
모든 취약점 예를 들어 있습니다 카탈로그 사이트
웹 어플리케이션에 대한 기본 체크리스트는 OWASP에서 찾을 수 있습니다 이것은 매우 일반적인 체크리스트입니다.
우수, milW0rm 및 packetstormsecurity 매우 약속보세요 – Moak
SQL 주입 및 XSS 공격은 모두 (, 등등 ""태그를 제거하고 addslashes) 코드에 점점 모든 정보를 분석하여 해결된다; Magic은 에뮬레이션을 인용하고 register_globals을 사용하여 내 관점에서 문제를 해결했습니다. 조심하십시오, 언제 정확하게 알지는 못하지만 magic_quotes는 더 이상 사용되지 않을 것입니다.
다른 위협은 무엇입니까? 내 경험상 가장 흔한 인간의 실수는 인증과 관련이 있습니다. 이것은 사용자가 로그인하지 않는다는 의미는 아니지만 사용자가 다른 사용자의 정보를 읽고 쓸 수 있음을 의미합니다. 따라서, index.php? page = images & action = delete & id = 2와 같은 삭제 링크를 볼 때마다 다른 사용자의 이미지를 시도해보십시오. "당신의 이미지가 아닙니다"라고하는 말을해야합니다. 확인하기가 매우 어렵 기 때문에 개발자의 경험에 의존해야합니다.
두 번째로 큰 문제는 코드와 관련이 없지만 서버와 관련이 있습니다. FTP 암호가 바이러스 (IFrame 바이러스 및 기타)에 의해 도난 당했거나 서버가 다양한 무차별 방식을 사용하여 해킹당했습니다.
결론은 SQL 인젝션 및 XSS 공격을 확인했다면 마지막으로 인증 문제를 해결하는 것입니다. 인증은 사용자가 얻거나 변경 한 정보가 YOURS라는 것을 의미합니다. 사람들은 보안 문제에 대해 약간 편집증에 빠지는 경향이 있지만 가장 일반적인 해킹은 개발자의 잘못이 아닙니다.
희망이 도움이됩니다.
최고 감사합니다, 가브리엘
CSRF를 언급하는 것을 잊었습니다. 요즘 매우 인기가 있습니다. 특히 솔루션이 xss/sqli만큼 간단하지 않기 때문에 – Henri
는 잠시 동안 인터넷 검색을 시도 했습니까? 이 자료에는 수많은 블로그가 있습니다. 반자동 공격 제품군을 구입하여 웹 사이트를 테스트 할 수도 있습니다. –