보안 로그인 및 SSL을 통한 가입

Question

내 웹 사이트에 보안 로그인 및 가입을 구현했습니다. 이제 테스트하고 싶습니다. 올바르게 보안이 설정되었는지 테스트하는 방법을 모르겠습니다. SSL을 사용 할 때, 당신은 쉽게 다운로드하고 OpenSSL를 설치하여 시운전 수 나누기 여부를 테스트하려면

Answer 1

, 웹에 OpenSSL을, install 새로 생성 된 인증서 자체 서명 된 인증서를 만들려면이 tutorial에 따라 서버 (Apache 또는 LAMP 또는 XAMPP를 사용하는 경우 Apache) 마지막으로 웹 서버를 다시 시작하십시오. 이제 SSL을 사용할 준비가되었습니다. https : //를 통해 로그인 양식을 사용하고 어떻게되는지보십시오. Firefox와 같은 웹 브라우저에서 인증서에 대해 불만이있는 경우 예외를 생성하도록 알립니다.

SSL을 통해 테스트 할 수있는 방법이지만 "올바르게 보안 설정되어 있는지 여부"에 대해서는 상황이 더욱 어려워집니다. 제한 또는 사용하여 강제 짐승에 대해 보호

• 세션 고정
• 크로스 사이트 스크립팅
• 보안 암호 저장 (해시)
• SQL 주입
• :의 당신이 적어도 촬영 한 처리 확인 보안 문자

Answer 2

이것은 아파치를 사용하는 경우 또는 자체 제작 서버 인 경우와 같이 웹 사이트의 구성에 따라 다릅니다.

테스트 HTTP를 통해 액세스 (이 원하는 어떤 경우)

• 사이트를 확인은 HTTPS를 통해서만 접근 - 동작을 확인이 예상대로 (HTTPS로 리디렉션, 오류 페이지 또는 경고 메시지가 될 수있다 .. .)
• 가 (로그인 페이지를 통해 즉, 단조 URL)
• 열기 세션을하지 않고 사이트에 액세스하려고합니다, 로그인하지 않고 다른 클라이언트에서 액세스하려고합니다.
"명백한"암호
• 테스트 (테스트/test, admin/admin)
• 는
• 는
• 하나는 시스템의 모든 파일에 액세스 할 수 있는지 확인 하나는 시스템의 개인 키에 액세스 할 수 있는지 확인/암호가 비어 이름없이 로그인 할 수 있는지 확인 (예 : http://website.address/../../../../etc/passwd)
• ...

웹 사이트 보안 테스트 스위트 (insecure.org의 this list, 상용 제품 및 무료/오픈 소스 도구 참조)를 사용할 수도 있습니다.

IMHO, 제 3 자 도구이므로 SSL을 테스트하지 마십시오.