Sappiamo tutti che ci sono ancora codici vulnerabili là fuori, anche se potrebbero o non potrebbero essere sfruttati e trovati per tentativi di hacking. Ho visto persone farlo innumerevoli volte e avere una soluzione probabilmente plausibile su cui ho lavorato per questo. L'unica cosa che mi manca sono le possibilità e le opinioni per questa idea.
Basato sul Web Application Firewall , ho pianificato di creare un plugin vBulletin (primo) per rileva il codice non personalizzato includendo funzioni per tutti i possibili codici non salvati e sandbox. Per ridurre i privilegi di chiunque non abbia una chiave (definita dall'utente o generata), il proprietario del forum accederà manualmente al pannello di controllo e non potrà consentire a quale codice viene filtrato / bloccato o rilevare automaticamente le vulnerabilità note che il codice può avere e fornire un 404 a qualsiasi utente che immetta codice sfruttabile arbitrario come SQLi (consente l'accesso a una tabella diversa da quella nella pagina) e altri.
Poiché le persone mi hanno detto che l'utilizzo di un firewall per applicazioni Web presenta molti bypass che sono semplicemente fastidiosi per l'hacker, mi chiedevo se la sandbox e l'abbassamento dei privilegi fossero una buona idea se migliorassi la funzionalità su vBulletin attraverso numerosi plugin / prodotti in modo che possano essere almeno il 90% versatili nel tempo?
Anche le opinioni sono benvenute. Un'altra domanda è nota per le cattive pratiche di codifica. Non so tutto, ma conosco i miei errori e le persone si sono rotti e si sono fatti strada attraverso il mio codice per mostrarmi. Quali cattive pratiche di codifica sono conosciute e non comuni / conosciute e comuni in PHP / JS?
Grazie per il tempo. Se questo si adatterebbe in un altro sito SE, mi spiace & molte grazie se viene migrato.
Modifica
Mi chiedevo se proteggere o meno le aggiunte a un sito prima di proteggere il sito nel complesso fosse una buona idea. Se guardiamo a vBulletin così com'è, le persone stanno ancora creando plug-in e prodotti che non sono protetti al 100% e portano a scoprire che potrebbero esserci codice non necessario, servizi igienici inadeguati e / o input non calibrati. Ciò avvolgerebbe il codice e lo proteggerà attraverso le restrizioni dei privilegi. I contro di questo sono meno conoscenza sulla sicurezza per il proprietario (s), ma più tempo sapendo che il tuo sito web è protetto se sei vulnerabile o meno.