← Segurança

Proteção SQL injection/XSS

Lida 9083 vezes

Offline

Splash 
Membro
Mensagens 11 Gostos 0
Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Sixth year Anniversary

Bem, antes de mais boa tarde, provavelmente isto está sempre a ser "discutido" aqui, mas cá vai novamente..

Os ataques mais graves que ocorrem nos sites penso que eu que serão os que poêm em risco a integridade da base de dados ou os que permitem aceder aos dados da respectiva base de dados, bem penso que o tipo de ataques mais conhecidos nestes casos são SQL Injection e/ou XSS..

Como posso proteger o meu site? (Não uso Joomlas ou WordPresses)

Que outros tipos de ataques devo de proteger o meu site (é de testes, está offline)?

Obrigado
Rui Moreira
Offline

Pundit 
Membro
Mensagens 94 Gostos 6
Troféus totais: 19
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 50 Posts 10 Posts First Post

supondo que o código está feito em condições á partida não tens problemas, de qualquer das formas regras no mod_security são sempre uma ajuda para os problemas mais comuns.

outros tipos de ataques do tipo ddos, syn, bruteforce, etc depende do que tens á vista
Offline

André Freitas 
Membro
Mensagens 941 Gostos 16
Troféus totais: 29
Trófeus: (Ver todos)
Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Olá!
A OWASP fez uma lista das 10 vulnerabilidades mais comuns em aplicações web/sites e podes consultar aqui https://www.owasp.org/index.php/Top_10_2013-Top_10

O mod_security ajuda mas não te fies completamente nele e se queres testar as vulnerabilidades do teu site, lança o desafio num desses canais de hackers que andam pelo IRC :)
Offline

Splash 
Membro
Mensagens 11 Gostos 0
Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Sixth year Anniversary

Mas ddos é mais direcionado para a proteção no servidor, não é?
Offline

André Freitas 
Membro
Mensagens 941 Gostos 16
Troféus totais: 29
Trófeus: (Ver todos)
Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Pensa um ataque DDOS da seguinte maneira: muita gente liga para o 112 com chamadas falsas e pelo facto das linhas estarem ocupadas não conseguem servir os pedidos reais.

Tu consegues mitigar um ataque deste gênero ao nível da infraestrutura. Se tiveres uma aplicação web a correr numa plataforma como o Google App Engine, ou Amazon AWS, visto que a mesma está distribuída por vários servidores, um ataque destes é mais facilmente mitigado porque escala.
Offline

Splash 
Membro
Mensagens 11 Gostos 0
Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Sixth year Anniversary

Como é que funcionam esses webservices? Neste momento estou a criar um webservice que faz a ligação entre o web site (cliente side) e a base dados..
Offline

Pundit 
Membro
Mensagens 94 Gostos 6
Troféus totais: 19
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 50 Posts 10 Posts First Post

é um gênero de uma conta de alojamento web mas dentro das plataformas do google por exemplo. tenho ideia que o desenvolvimento do site terá de ser feito consoante algumas especificações da empresa mas sinceramente nunca testei.

o mais fácil para ataques ddos creio que seja apontar os domínios para o cloudlare e esconder a ip publica do host. pelo cloudflare tens ainda a waf já com as top 10 do OWASP entre outras, neste caso chamo a atenção para o servidor de email que convêm ficar noutra rede
Offline

André Freitas 
Membro
Mensagens 941 Gostos 16
Troféus totais: 29
Trófeus: (Ver todos)
Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Bem, o Google App Engine é uma plataforma e é uma framework para desenvolver uma aplicação web. É muito diferente de uma conta de alojamento. A dimensão do teu projeto tem que justificar senão sai caro. O Snapchat está nesta plataforma.
Offline

Splash 
Membro
Mensagens 11 Gostos 0
Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Sixth year Anniversary

Obrigado a todos pelas respostas :)
Offline

maozinhas 
Membro
Mensagens 10 Gostos 0
Troféus totais: 10
Trófeus: (Ver todos)
Combination Topic Starter Level 2 Level 1 10 Posts First Post Avatar Third year Anniversary Second year Anniversary One year Anniversary

Aconselho o uso o sqlmap para testes !