Come testare sicurezza siti web
Chiuso
desiv
Posti
1
Data di registrazione
lunedì 3 marzo 2014
Stato
Membri
Ultimo intervento
lunedì 3 marzo 2014
-
Modificato da AntonelloCCM il 2/02/2017 alle 08:55
SuperDev88 Posti 9 Data di registrazione lunedì 30 gennaio 2017 Stato Membri Ultimo intervento mercoledì 14 giugno 2017 - 30 gen 2017 alle 18:06
SuperDev88 Posti 9 Data di registrazione lunedì 30 gennaio 2017 Stato Membri Ultimo intervento mercoledì 14 giugno 2017 - 30 gen 2017 alle 18:06
3 risposte
Casamarce
Posti
1298
Data di registrazione
giovedì 21 novembre 2013
Stato
Contribuente
Ultimo intervento
7 febbraio 2021
1.037
3 mar 2014 alle 13:26
3 mar 2014 alle 13:26
Ciao Desiv,
ti voglio proporre di fare un giro su questo sito fatto da Microsoft con la collaborazione della polizia di stato: https://www.microsoft.com/it-it
Da consigli generali per evitare i pericoli sul web.
Altrimenti il consiglio che ti posso dare io è di avere sul tuo dispositivo un antivirus (se ne cerchi uno gratuito ti consiglio Avira ) e avere installato un anti adware come Malwarebytes.
Cerca di tenerli aggiornati il più possibile per tenerti al sicuro.
Ti cito questi due che sono gratuiti, altri programmi sono anche meglio di questi due ma sono tutti a pagamento.
Se vuoi andare verso soluzioni a pagamento ti consiglio i prodotti dell'azienda symantec (sono cliente e soddisfatto da anni, mai avuto problemi a livello di virus o adware). Eccoti il link: https://it.norton.com/internet-security
Ciau.
Fammi sapere se hai risolto
ti voglio proporre di fare un giro su questo sito fatto da Microsoft con la collaborazione della polizia di stato: https://www.microsoft.com/it-it
Da consigli generali per evitare i pericoli sul web.
Altrimenti il consiglio che ti posso dare io è di avere sul tuo dispositivo un antivirus (se ne cerchi uno gratuito ti consiglio Avira ) e avere installato un anti adware come Malwarebytes.
Cerca di tenerli aggiornati il più possibile per tenerti al sicuro.
Ti cito questi due che sono gratuiti, altri programmi sono anche meglio di questi due ma sono tutti a pagamento.
Se vuoi andare verso soluzioni a pagamento ti consiglio i prodotti dell'azienda symantec (sono cliente e soddisfatto da anni, mai avuto problemi a livello di virus o adware). Eccoti il link: https://it.norton.com/internet-security
Ciau.
Fammi sapere se hai risolto
Grazie per avermi risposto io però intendevo a livello di programmazione esempio come questi cms che girano
SuperDev88
Posti
9
Data di registrazione
lunedì 30 gennaio 2017
Stato
Membri
Ultimo intervento
mercoledì 14 giugno 2017
2
Modificato da SuperDev88 il 30/01/2017 alle 18:07
Modificato da SuperDev88 il 30/01/2017 alle 18:07
Ciao Desiv, se sei interessato alla sicurezza ad un livello di programmazione e di CMS posso aiutarti io!
Sono un programmatore web e gestisco il sito di programmazione ImparareAProgrammare.it, e qualsiasi linguaggio di programmazione tu voglia usare ti assicuro che la sicurezza è un aspetto fondamentale!
Andiamo al sodo, un sito web scritto male è soggetto a vari attacchi, i più comuni sono due (che sicuramente avrai già sentito) l'SQL-injection e il XSS ovvero Cross Site Scripting.
Nel primo caso, l'SQL-Injection consiste nel passare ad una pagina web dei parametri in GET o in POST che vadano a modificare la query eseguita nel database. Passando alcuni caratteri particolari è possibile accedere direttamente al database e farsi restituire qualsiasi dato sia presente.
Il Cross Site Scripting o XSS è invece quando nella struttura della pagina di un sito di terzi è possibile includere un proprio codice, magari un iframe o uno script javascript.
Per uno sviluppatore web gli accorgimenti per evitare questo genere di attacchi sono molto semplice, basta seguire le linee guida della buona programmazione, ovvero validare qualsiasi input utente prima di effettuare query nel database nel caso dell'SQL-Injection e nel caso dell'XSS non includere sorgenti esterni basati su parametri GET o POST (facilmente manipolabili).
Se invece utilizza un CMS (come Wordpress o Joomla), devi prestare attenzione a tenere aggiornata la versione del CMS e di tutti i plugin installati, molto spesso sono proprio i plugin ad offrire una "porta" d'accesso al server.
Se vuoi stare tranquillo e verificare che il tuo sito non abbia questo genere di problemi, ci sono vari tool gratuiti che puoi usare, eccone qualcuno:
https://www.acunetix.com/vulnerability-scanner/online-scanner/
http://sqlmap.org/
https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)
Sono un programmatore web e gestisco il sito di programmazione ImparareAProgrammare.it, e qualsiasi linguaggio di programmazione tu voglia usare ti assicuro che la sicurezza è un aspetto fondamentale!
Andiamo al sodo, un sito web scritto male è soggetto a vari attacchi, i più comuni sono due (che sicuramente avrai già sentito) l'SQL-injection e il XSS ovvero Cross Site Scripting.
Nel primo caso, l'SQL-Injection consiste nel passare ad una pagina web dei parametri in GET o in POST che vadano a modificare la query eseguita nel database. Passando alcuni caratteri particolari è possibile accedere direttamente al database e farsi restituire qualsiasi dato sia presente.
Il Cross Site Scripting o XSS è invece quando nella struttura della pagina di un sito di terzi è possibile includere un proprio codice, magari un iframe o uno script javascript.
Per uno sviluppatore web gli accorgimenti per evitare questo genere di attacchi sono molto semplice, basta seguire le linee guida della buona programmazione, ovvero validare qualsiasi input utente prima di effettuare query nel database nel caso dell'SQL-Injection e nel caso dell'XSS non includere sorgenti esterni basati su parametri GET o POST (facilmente manipolabili).
Se invece utilizza un CMS (come Wordpress o Joomla), devi prestare attenzione a tenere aggiornata la versione del CMS e di tutti i plugin installati, molto spesso sono proprio i plugin ad offrire una "porta" d'accesso al server.
Se vuoi stare tranquillo e verificare che il tuo sito non abbia questo genere di problemi, ci sono vari tool gratuiti che puoi usare, eccone qualcuno:
https://www.acunetix.com/vulnerability-scanner/online-scanner/
http://sqlmap.org/
https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)