Lista di controllo per la sicurezza del sito web?

Naviga le tue risposte
3

Sto costruendo un servizio web (un pannello di controllo per i client) (PHP su linux apache) e provo dal design per renderlo il più sicuro possibile,

Qualcuno può fornirmi una sorta di elenco di cose su cui devo concentrarmi?

Ho già implementato:

  1. Protezione SQLi,
  2. per sessione token CSRF,
  3. hashing della password sicura che memorizza nel database con php 5.5 password_hash (con controllo need_rehash),
  4. ha aggiunto recaptcha per tutti i robot spam,

  5. gestore sessioni per l'utente (visualizza chi ha effettuato l'accesso al mio account e

    chiudi sessioni remote e amp; avvisare se qualcuno ha effettuato l'accesso al mio account).

    1. Certificato SSL, comunicazione completa su HTTPS. (reindirizzo tutti http - > https)

Domande:

  1. Ho bisogno di un qualche tipo di sistema IP di blocco automatico?

  2. Bloccaggio e amp di IP per l'accesso non riuscito registrazione?

  3. Eventuali modifiche alla sicurezza di linux-server? Non ho ancora modificato nulla

  4. Come faccio a proteggere il mio sito web da tutti i bot / spider? identificare & divieto

Sarà utile se qualcuno può provare una linea guida / lista di controllo per tutti i punti di sicurezza per un sito web, per fare un controllo / protezione uno per uno ...

Penso che il mio servizio sia sicuro quindi il più ... ma chiaramente non cambierà il fatto che ci sono alcune persone abili che la chat può incidere qualcosa ... - Voglio fare una bella sfida se qualcuno prova a fare casino con il mio sistema ... Voglio un servizio web che sia più sicuro di altri.

    
posta itai 24.04.2015 - 11:20
fonte

2 risposte

3

Per rispondere direttamente alle tue domande:

do i need some kind of auto ban ip system? failed login ip banning & logging?

Sì, non provare a reinventare nulla e usa fail2ban (solo una buona espressione regolare e sei protetto).

any linux-server security modifications? i did not modify anything yet

Consiglierei selinux con i domini e tutta quella roba, ma è piuttosto difficile. Un buon firewall, tcpwrappers e aggiornamenti dovrebbero essere sufficienti.

how do i protect my website from all spam bots/spiders? identify&ban

  1. Captcha come sistema è ok.
  2. Verifica referrer
  3. Utilizza javascript prima di inviarlo.
  4. link

Come checklist ti consiglio OWASP top 10 ( link ). Se desideri maggiori dettagli ottieni OWASP Cheatsheets Book: link

Per quanto riguarda le opzioni di sicurezza sul lato server, consiglio anche:

  1. WAF (mod_security + set di regole OWASP) sarà essenziale nella tua app Web.
  2. Chroot Webserver.
  3. Nascondi firma webserver
  4. Disattiva elenco di directory
  5. Usa mod_evasive (DOS agains)
  6. Disattiva Server Side Include e CGI Execution se non li usi.
  7. Disinstalla tutto ciò che non è necessario.
  8. Forza te stesso e non installare nulla dai sorgenti, sarà più difficile da aggiornare.

Buona fortuna.

    
risposta data 24.04.2015 - 14:51
fonte
1

Gli elenchi di controllo in generale sono un posto adatto per avviare una conversazione sulla sicurezza. La top ten di OWSAP è abbastanza buona.

Ma è quasi impossibile progettare un sistema di sicurezza per te senza sapere cosa stai facendo, cosa stai cercando di proteggere e da chi stai cercando di proteggerlo. Per esempio, una banca ha bisogno di sicurezza diversa da un negozio Target.

Progettare un intero sistema di sicurezza è ben oltre lo scopo di una domanda qui. Il mio consiglio è di assumere qualcuno con esperienza nella progettazione di sicurezza e chi può guidarvi attraverso questo processo. Se stai iniziando la conversazione chiedendo liste di controllo, hai chiaramente bisogno di un aiuto più esperto.

    
risposta data 24.04.2015 - 17:22
fonte

Leggi altre domande sui tag

Documento di protocollo SSL "Indagini su SSL" Le informazioni sullo schema di hashing per il client quando si generano query SQL sono più sicure?