it-swarm-tr.com

PHP uygulama için güvenlik denetimi nasıl yapılır?)

Güvenlik için denetlenmesini istediğim bir PHP uygulama var. Genel güvenlik sorunlarının çoğuna aşinayım, ancak hiçbir şey kaçırmadım emin olmak istiyorum.

Bir öz denetim gerçekleştirmek için hangi adımları atmalıyım? Hangi araçlar mevcut? 3. taraf denetçi bulmanın en iyi yolu nedir? Herhangi bir tavsiye?

Hem whitebox/codereview denetimi hem de blackbox/pentest ile ilgileniyor musunuz?

44
VirtuosiMedia
27
M.S. Dousti

Burp proxy, paros, vb. Gibi etkileşimli web proxy'leriyle başlamalısınız.
Kendim, Fiddler kısmi oldum. Hangi aracı seçerseniz seçin, tüm istek/yanıt akışını incelemenize ve javascript sonrası isteklerle etkileşime girmenize olanak tanır. Başlamak için harika bir yer.

Sonunda, hayal ediyorum OWASP kod tarayıcı destekleyecek PHP çok ... ama şu anda bunun için herhangi bir ücretsiz otomatik araç aşina değilim. Sadece manuel gözbebekleri için Şimdi ...
Elbette büyük satıcılardan birine gidebilirsiniz, ör. Fortify, Ons Labs, vb - ama oldukça pahalı ve başka bir kutu solucanlar ...

11
AviD

Google'ın Skipfish'ine bir göz atın: http://code.google.com/p/skipfish/wiki/SkipfishDoc

6
Nev Stokes

Tonlarca araç var ve bir pentest için ne kullanacağına gerçekten kişisel bir tercih. Bu yüzden ben ve başkaları tarafından bahsedilenlerin hepsini deneyin ve size en uygun olanları seçin.

Güvenlik kodu incelemesi (whitebox testi) için RIPS kullanılmasını öneririm. Denediğim en iyisi.

Bazı blackbox testleri yapmak için, kesinlikle bazı yakalama proxy'lerine ihtiyacınız vardır. Bunlardan birçoğu var, ama Windows'taysanız Fiddler 'a göz atmanızı öneririm. Burp / WebScarab / Zed Attack Proxy da harika. Bazı enjeksiyon testlerini otomatikleştirmek istiyorsanız, fuzzdb adresinden bazı ortak yükleri alın.

Ayrıca, Firebug ve Chrome Geliştirici Araçları gibi tarayıcı eklentileri) hakkında bilgi edinin, bunlar harika bir yardımcıdır.

Son olarak Açık Penetrasyon Testi Yer İşaretleri Koleksiyon adresinden yer işaretlerini deneyin. Bu büyük bir liste (sadece kaç araç olduğunu biliyorsunuz), ancak içinde çok sayıda mücevher var.

6

Hiçbir şeyi kaçırmadığınızdan emin olmak istiyorsanız, en iyi yol ona bakmak için gerçek bir uzman edinmektir. Bir geliştiricinin en iyi uygulamaları takip etmediklerinin farkında olmadığı veya yaygın "güvenli" uygulamaların gerçekten güvenli olmadığını anlayamadığı web sitelerinde çok fazla sorun ortaya çıkıyor! (örn. "Tek tırnakları ters eğik çizgi tek tırnakları ile değiştirdiğim sürece SQL'imi parametreleştirmem gerekmez, değil mi?" ").

Bir şirketseniz, başvurunuzu test etmek için harici bir pentesting şirketi kiralayın. Çok pahalı değiller ve sorunların çoğunu bulacaklar. Bir şirket için bir pentesting firması kiralamak için tam maaş konusunda personelin eğitimini günlerce boşa harcamaktan daha ucuzdur bazı böcekler ve kesinlikle denemekten daha ucuzdur büyük bir müşteri verisi ihlalinden sonra şirketinizi yeniden oluşturun.

3
SecurityMatt