main page

Защищенность

Объекты проверки не должны раскрывать служебную и личную информацию:

  • конфигурация системы, оборудования;
  • раскрытие информации:
    • файл robots.txt, sitemap.xml;
    • строка браузера;
    • комментарии в коде;
    • версии в заголовках ответов;
    • личные данные (пароль, налоговый номер, адрес).
  • переполнение буфера памяти, файлов логирования.
  • предупреждения системы.

Сканеры безопасности

  • http / https;
  • GET / POST;
  • изменение параметров;
  • обратный путь;
  • перенаправление на другой ресурс;
  • инъекции;
  • переход по url, который доступен после авторизации, для неавторизированного пользователя;
  • доступ к конфигурационным файлам;
  • доступ к админке через https с проверкой ip.

  • капча (защита от перебора);
  • учитывать количество попыток;
  • наличие в словаре паролей;
  • двухфакторная авторизация;
  • хеширование паролей (проверить хеш-функцию на актуальность);
  • звездочки в строке пароль;
  • инъекции;
  • длина, надежность, как быстро сломается, срок жизни пароля;
  • восстановление, изменение пароля через URL;
  • АВТОРИЗАЦИЯ - контроль прав доступа.

  • обязательность заполнения;
  • есть данные, нет данных, ошибочные данные;
  • тип данных (массив, целое, плавающая, строка);
  • инъекции.

валидатор https://2gdpr.com/ru/

Файлы cookie сеанса. Эти куки-файлы временны, которые удаляются, когда пользователь закрывает браузер. Даже если пользователь входит в систему снова, создается новый файл cookie для этого сеанса.

Постоянные файлы cookie - эти куки остаются на жестком диске, если пользователь не вытер их или не истекает. Срок действия Cookie зависит от того, как долго они могут длиться.

Проверки:

  • согласие на использование cookies;
  • имя сервера, с которого отправлен файл cookie;
  • время жизни файла cookie;
  • значение cookie;
  • флаг HTTP only (обязательно дла авторизации);
  • нет личных данных, хранящихся в файле cookie или они хранятся в зашифрованном формате;
  • отключение файлов cookie;
  • удаление файлов cookie;
  • редактирование файлов cookie;
  • совместимость между браузерами.

https://siteName/robots.txt

Например, https://www.google.com/robots.txt

"[|]'~<!--@/*$%^&#*/()?>,.*`/\

<u>TEST</u>

hello<br>world

hello" <br> world

<script>allert(1)</script>

<img src="wefef" onerror="allert(1)">

'-- -

' order by 2-- -

id=1 order by 2

id=5 or 1=1

for LIKE= ') and (id='1

');select count(1) from dual;

инъекции SQL