|
тестирование сайта
|
||
|---|---|---|
Участник
Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476 |
||
| 08.02.2019, 16:12 |
|
|
|
|
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
Большую часть времени делал интранет приложения, доступ извне был неактуален. Хотел поинтересоваться есть ли какаято тулза, которую можно натравить на сайт лежащий в ИИС и доступный из вне и получить отчет об его уязвимостях? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 15:25 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
denis_viktorovich, .. почему бы не поставить на внешнем шлюзе, например, nginx под https с прокси, и уже его проверять на уязвимость, а не боевой сервер приложений? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 15:34 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
carrotik, Я так понимаю это больше к админам относится, меня больше интересует, с точки зрения программера что кроме защиты от JS иньекций, кастомной авторизации с ролями я мог бы прикрутить к своему приложению, но еще не сделал этого. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 16:05 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
denis_viktorovich, Они есть, но все платные. Сам подумай, сайт который вводишь урл и он покажет дырки для взлома. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 16:12 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
Есть какойто must have для сайта который будет виден из инета(части инета) - ValidateAntiForgeryToken, [ValidateInput(true)], что еще стоит почитать? P.S. Авторизация по логину и паролю, пара логин/хэш пароля проверяется хранимой процедурой, при совпадении логин и признак пишется в переменную сессии, исходя их наличия/отсутствия которой дается или нет доступ к фунционалу. Возможно ли со стороны клиента как то изменить значение переменной сессии, если да, то как этому противостоять? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 16:17 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
OWASP Zed Attack Proxy Project не подойдет? Правда дефолтные проверки там базовые, нужно будет ручками в том числе поработать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 16:52 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
zubactik OWASP Zed Attack Proxy Project не подойдет? Правда дефолтные проверки там базовые, нужно будет ручками в том числе поработать. да эт ему за глаза подойдет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 17:10 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
denis_viktorovich, есть такая тулза https://www.acunetix.com/ вполне добрая и по цене имхо, сайты на пыхе плющит за раз. было дело другу показывал как ей пользоваться и натравил на один сексшоп, был несказанно удивлен и озабочен шоп пал по инъекции (( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.02.2019, 20:59 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
denis_viktorovichP.S. Авторизация по логину и паролю, пара логин/хэш пароля проверяется хранимой процедурой, при совпадении логин и признак пишется в переменную сессии, исходя их наличия/отсутствия которой дается или нет доступ к фунционалу. Возможно ли со стороны клиента как то изменить значение переменной сессии, если да, то как этому противостоять? читай про oauth и его имплементации (identity server к примеру), это сейчас стандарт авторизации, свой собственный велосипед не имеет абсолютно никаких шансов. А еще лучше сгрузи работу с пользователями на сторонние сервисы типа auth0. Это конечно если действительно есть что защищать, а то на просторах интернета много неуловимых джо... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.02.2019, 00:12 |
|
||
|
тестирование сайта
|
|||
|---|---|---|---|
|
#18+
stenfordчитай про oauth авторВ одной из крупнейших платформ для идентификации пользователей Auth0 обнаружена опасная уязвимость обхода аутентификации, позволяющая злоумышленнику получить доступ к любому порталу или приложению, использующему данный сервис. Ранее исследователи безопасности из компании Cinta Infinita обнаружили уязвимость CVE-2018-6873 в Auth0 API Legacy Lock, существующую из-за некорректной проверки параметров JSON Web Tokens (JWT). Исследователи успешно проэксплуатировали данную проблему, и обошли аутентификацию входа в систему с помощью уязвимости CVE-2018-6874, позволяющей осуществить межсайтовую подделку запроса (CSRF/XSRF) в приложениях, использующих Auth0. Проэксплуатировав CVE-2018-6874, злоумышленник может повторно использовать действительный подписанный токен JWT, сгенерированный для сторонней учетной записи, для получения доступа к аккаунту жертвы. Подробнее: https://www.securitylab.ru/news/492516.php ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.02.2019, 08:50 |
|
||
|
|
start [/forum/topic.php?fid=18&msg=39771203&tid=1355045]: |
0ms |
get settings: |
8ms |
get forum list: |
12ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
276ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
43ms |
get tp. blocked users: |
1ms |
| others: | 12ms |
| total: | 367ms |
| 0 / 0 |
