Beveilingslekken
Waar heb ik al aan gedacht?
- XSS en SQL injection is niet mogelijk.
- Sessie wordt gecontroleerd op elke pagina.
- Losse bestanden (uitgezonderd media zoals CSS/JS) zijn niet uit te lezen.
- SSL verbinding (inloggen kan alleen via SSL).
- Alle (succesvolle) inlog (pogingen) worden opgeslagen.
- Tijdelijke blokkade 5x foutief inloggen.
- Gebruiker kan instellen of er alleen vanaf zijn IP kan worden ingelogd.
- Gebruiker kan niet een handmatig wachtwoord instellen voor veiligheidsredenen.
- Sessies worden automatisch verwijderd na 2 uur.
Ik zal vast wel iets vergeten zijn, haha, maar dat kan ik later nog wel aanvullen. Ik zou het erg tof vinden als er mensen zijn die die lijstje kunnen aanvullen zodat ik er eens naar kan kijken. Alvast bedankt!
Gesponsorde koppelingen:
http://www.phphulp.nl/php/forum/topic/aangeboden-ervaren-freelance-php-programmeurbeveiliger/80744/
Gewijzigd op 26/10/2011 10:37:38 door kees Schepers
Jordy, dat voorkom ik door de gebruiker elke minuut een 30 seconden een nieuw sessie id te geven en te controleren op IP etc.. En ja, de sessie wordt gehassed opgeslagen.
Gewijzigd op 26/10/2011 11:15:32 door PHP Scripter
Op die manier werken wij bij het Ministerie ook, want ook al denk je(ik) alles te weten over beveiliging als onze security officer het test vind hij serieus altijd wat maar deze man haalt ook echt gekke fratsen uit met je applicatie. Maar meestal vindt hij beveiligingslekken in de business flow van de applicatie. Dus bijvoorbeeld pagina's waar rechten niet goed of verkeerd worden gechecked.
Ik ben zelf verder niet bekend met Versio (ziet er op zich wel goed uit) maar ik zou zorgen dat je wel altijd zelf het e.e.a. af weet van de configuratie van de server. Want wat TJVB zegt kan ik alleen maar beamen, bijvoorbeeld of je direct met root aan kan loggen, staat alleen SSH2 aan, staat FTP aan?, wordt je gebanned bij flood etc.
Wat overigens bij een klant van mij weleens gebeurd is, dat hij onder Windows werkte (sowieso een slecht idee haha) en hij een virus heeft binnen gehaald en werden zo zijn wachtwoorden van zijn PC afgehaald (hoe sloeg ze unencrypted op). Dus tja, dan kun je alles wel zo goed beveiligen maar als je op zoiets dan weer de plank mis slaat ;)
Succes!
Ik heb verder nog geen navraag gedaan over de situatie bij Versio. Maar dat kan ik binnenkort wel eens gaan doen ja. Nooit bij nagedacht.
Ik werk ook nog met Windows omdat ik niet naders kan i.v.m. sommige software, en ik koop geen Apple om vervolgens een dual boot met Windows te draaien. Maar ik weet 100% zeker dat ik geen virussen heb.
Heb je verder nog tips qua applicatie beveiliging?
Fijne avond!
Edit:
Ah, ik zie het al, onze vriend Thee Boris heeft een nieuwe naam aangenomen....
Gewijzigd op 27/10/2011 23:11:06 door - Aar -
dat is mijn echte naam
@Tjvb
dat zij ik omdat Kees Schepers zij over een klant die een virus had.
Jacco Brandt op 28/10/2011 11:57:22:
Heb je, als je bestanden moet uploaden, rekening gehouden met de null-byte exploit?
Ik ben nog niet bezig geweest met het uploaden van bestanden binnen het systeem, maar dit gaat nog wel gebeuren. Bedankt voor de tip!
