Come testare sicurezza siti web [Chiuso]

Posti
1
Data di registrazione
lunedì 3 marzo 2014
Ultimo intervento
lunedì 3 marzo 2014
-
Salve a tutti volevo chiedere se qualcuno poteva darmi qualche dritta su come testare i siti web a livello di sicurezza ho visto che ci sono molti programmi che girano sul web
The web is My life
Altro... 

3 risposte

Posti
1340
Data di registrazione
giovedì 21 novembre 2013
Ultimo intervento
giovedì 29 gennaio 2015
0
Grazie
Ciao Desiv,
ti voglio proporre di fare un giro su questo sito fatto da Microsoft con la collaborazione della polizia di stato: http://www.microsoft.com/italy/sicurionline/home.aspx
Da consigli generali per evitare i pericoli sul web.

Altrimenti il consiglio che ti posso dare io è di avere sul tuo dispositivo un antivirus (se ne cerchi uno gratuito ti consiglio Avira ) e avere installato un anti adware come Malwarebytes.
Cerca di tenerli aggiornati il più possibile per tenerti al sicuro.

Ti cito questi due che sono gratuiti, altri programmi sono anche meglio di questi due ma sono tutti a pagamento.

Se vuoi andare verso soluzioni a pagamento ti consiglio i prodotti dell'azienda symantec (sono cliente e soddisfatto da anni, mai avuto problemi a livello di virus o adware). Eccoti il link: http://it.norton.com/internet-security/

Ciau.
Fammi sapere se hai risolto
0
Grazie
Grazie per avermi risposto io però intendevo a livello di programmazione esempio come questi cms che girano
Posti
9
Data di registrazione
lunedì 30 gennaio 2017
Ultimo intervento
mercoledì 14 giugno 2017
0
Grazie
Ciao Desiv, se sei interessato alla sicurezza ad un livello di programmazione e di CMS posso aiutarti io!

Sono un programmatore web e gestisco il sito di programmazione ImparareAProgrammare.it, e qualsiasi linguaggio di programmazione tu voglia usare ti assicuro che la sicurezza è un aspetto fondamentale!

Andiamo al sodo, un sito web scritto male è soggetto a vari attacchi, i più comuni sono due (che sicuramente avrai già sentito) l'SQL-injection e il XSS ovvero Cross Site Scripting.

Nel primo caso, l'SQL-Injection consiste nel passare ad una pagina web dei parametri in GET o in POST che vadano a modificare la query eseguita nel database. Passando alcuni caratteri particolari è possibile accedere direttamente al database e farsi restituire qualsiasi dato sia presente.

Il Cross Site Scripting o XSS è invece quando nella struttura della pagina di un sito di terzi è possibile includere un proprio codice, magari un iframe o uno script javascript.

Per uno sviluppatore web gli accorgimenti per evitare questo genere di attacchi sono molto semplice, basta seguire le linee guida della buona programmazione, ovvero validare qualsiasi input utente prima di effettuare query nel database nel caso dell'SQL-Injection e nel caso dell'XSS non includere sorgenti esterni basati su parametri GET o POST (facilmente manipolabili).

Se invece utilizza un CMS (come Wordpress o Joomla), devi prestare attenzione a tenere aggiornata la versione del CMS e di tutti i plugin installati, molto spesso sono proprio i plugin ad offrire una "porta" d'accesso al server.

Se vuoi stare tranquillo e verificare che il tuo sito non abbia questo genere di problemi, ci sono vari tool gratuiti che puoi usare, eccone qualcuno:
http://www.acunetix.com/vulnerability-scanner/online-web-scan/
http://sqlmap.org/
https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)