Come testare sicurezza siti web

Chiuso
desiv Posti 1 Data di registrazione lunedì 3 marzo 2014 Stato Membri Ultimo intervento lunedì 3 marzo 2014 - Modificato da AntonelloCCM il 2/02/2017 alle 08:55
SuperDev88 Posti 9 Data di registrazione lunedì 30 gennaio 2017 Stato Membri Ultimo intervento mercoledì 14 giugno 2017 - 30 gen 2017 alle 18:06
Salve a tutti volevo chiedere se qualcuno poteva darmi qualche dritta su come testare i siti web a livello di sicurezza ho visto che ci sono molti programmi che girano sul web
The web is My life

3 risposte

Casamarce Posti 1298 Data di registrazione giovedì 21 novembre 2013 Stato Contribuente Ultimo intervento 7 febbraio 2021 1.037
3 mar 2014 alle 13:26
Ciao Desiv,
ti voglio proporre di fare un giro su questo sito fatto da Microsoft con la collaborazione della polizia di stato: https://www.microsoft.com/it-it
Da consigli generali per evitare i pericoli sul web.

Altrimenti il consiglio che ti posso dare io è di avere sul tuo dispositivo un antivirus (se ne cerchi uno gratuito ti consiglio Avira ) e avere installato un anti adware come Malwarebytes.
Cerca di tenerli aggiornati il più possibile per tenerti al sicuro.

Ti cito questi due che sono gratuiti, altri programmi sono anche meglio di questi due ma sono tutti a pagamento.

Se vuoi andare verso soluzioni a pagamento ti consiglio i prodotti dell'azienda symantec (sono cliente e soddisfatto da anni, mai avuto problemi a livello di virus o adware). Eccoti il link: https://it.norton.com/internet-security

Ciau.
Fammi sapere se hai risolto
Grazie per avermi risposto io però intendevo a livello di programmazione esempio come questi cms che girano
SuperDev88 Posti 9 Data di registrazione lunedì 30 gennaio 2017 Stato Membri Ultimo intervento mercoledì 14 giugno 2017 2
Modificato da SuperDev88 il 30/01/2017 alle 18:07
Ciao Desiv, se sei interessato alla sicurezza ad un livello di programmazione e di CMS posso aiutarti io!

Sono un programmatore web e gestisco il sito di programmazione ImparareAProgrammare.it, e qualsiasi linguaggio di programmazione tu voglia usare ti assicuro che la sicurezza è un aspetto fondamentale!

Andiamo al sodo, un sito web scritto male è soggetto a vari attacchi, i più comuni sono due (che sicuramente avrai già sentito) l'SQL-injection e il XSS ovvero Cross Site Scripting.

Nel primo caso, l'SQL-Injection consiste nel passare ad una pagina web dei parametri in GET o in POST che vadano a modificare la query eseguita nel database. Passando alcuni caratteri particolari è possibile accedere direttamente al database e farsi restituire qualsiasi dato sia presente.

Il Cross Site Scripting o XSS è invece quando nella struttura della pagina di un sito di terzi è possibile includere un proprio codice, magari un iframe o uno script javascript.

Per uno sviluppatore web gli accorgimenti per evitare questo genere di attacchi sono molto semplice, basta seguire le linee guida della buona programmazione, ovvero validare qualsiasi input utente prima di effettuare query nel database nel caso dell'SQL-Injection e nel caso dell'XSS non includere sorgenti esterni basati su parametri GET o POST (facilmente manipolabili).

Se invece utilizza un CMS (come Wordpress o Joomla), devi prestare attenzione a tenere aggiornata la versione del CMS e di tutti i plugin installati, molto spesso sono proprio i plugin ad offrire una "porta" d'accesso al server.

Se vuoi stare tranquillo e verificare che il tuo sito non abbia questo genere di problemi, ci sono vari tool gratuiti che puoi usare, eccone qualcuno:
https://www.acunetix.com/vulnerability-scanner/online-scanner/
http://sqlmap.org/
https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)