Seneste forumindlæg
Køb / Salg
 * Uofficiel Black/White liste V2
Login / opret bruger

Forum \ Software \ Sikkerhed

Mest almindelige sikkerhedsbrister på hjemmesider

Af Supporter nikbomann | 12-01-2019 15:34 | 431 visninger | 6 svar, hop til seneste
Har Googlet lidt frem og tilbage, men tænkte at jeg lige ville høre herinde. Hvilke er de mest almindelige sikkerhedsbrister man bør teste en hjemmeside for? På min liste har jeg cross-site-scripting og SQL injections.
--
Lufter mine tanker på https://www.erduheltvoksen.dk[...]
#1
Coff
Super Supporter
12-01-2019 15:39

Rapporter til Admin
Dårlige password hvis man kan logge ind Ikke-opdaterede webservere / software på serveren Ingen codereview Ingen kontrol af installeret software f.eks. plugins Dårlige admins
--
#2
vaff
Monsterbruger
12-01-2019 16:13

Rapporter til Admin
• https - forat kryptere forbindelse - undgå cookie forgery • Ingen gemning af plaintext passwords • God kryptering af passwords 128 bit eller 256 bit
--
#3
HunterKiller
Monster Nørd
12-01-2019 16:22

Rapporter til Admin
Som du selv nævner, og i særdeleshed hvad #1 nævner Sikkerhedshuller i det CMS du bruger, og i tilføjede moduler/plugins, især 3. parts. - Dette kan f.eks være betalingsmoduler og lign. Vær meget stringent med at holde det opdateret
--
Linux, både privat og professionelt Det er aldrig umuligt at trække et kabel, so stop whining
#4
LgT
Maxi Supporter
12-01-2019 16:37

Rapporter til Admin
Kig på OWASP. #3 - de fleste mindre sider bruger forhåbentlig en ekstern betalingsløsning, hvorved det meste kan undgås? (og ja, jeg er klar over at svaret er at alting kan gøres forkert :-) ). Det her link gennemgår meget fint en stak for 2018 (https://www.greycampus.com[...] ): Features som Injection Broken Authorization Sensitive Data exposure Unpatched systems. Men bemærk også: "10. Insufficient logging and monitoring" - undervurder ikke evnen til at opdage at det er gået galt SELV.
--
#5
Tobias
Gæst
12-01-2019 16:37

Rapporter til Admin
Vi kunne jo starte med det erduheltvoksen.dk site du har stående. Der er det en meget god idé at få lukket sin Rest API. Du giver udefrakommende mulighed for at se dit adminbrugernavn, hvor det er lige til at lave et brute force attack på dit brugernavn - Det svarer lidt til, at du egentlig bare anvender et dårligt brugernavn som "admin". Hermed link til alt din brugerinformation og adminbruger: https://www.erduheltvoksen.dk[...]
--
Gæstebruger, opret dit eget login og få din egen signatur.
#6
Sven Bent
Junior Nørd
12-01-2019 20:30

Rapporter til Admin
#2 ingen gemning a plaintext password korrekt men man kryptere altsaa ikke passwords. hvis en serv bruger kryptering til password er det en sikerkheds brist. den skal bruge hashing ( med salt i ordenligt storrelse og af random natur). man kan dog bruge kryptering som et hash saa laenge krypter er asycron processen er dig stadigvaek hashing i det der ikke er en retur til orignal procedure i det
--
Sven Bent - Dr. Diagnostic www.TechCenter.[...] - Home of Project Mercury
--
Sidst redigeret 12-01-2019 20:31

Opret svar til indlægget: Mest almindelige sikkerhedsbrister på hjemmesider

Grundet øget spam aktivitet fra udlandet, er det desværre ikke muligt for dig, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login
NYHEDSBREV
Afstemning