La raccolta di informazioni sulla carta di credito è l'unica intenzione degli hacker? [chiuso]

Per rispondere alla tua domanda: NO , gli hacker hanno molti motivi per attaccare un sito. Le informazioni sulla carta di credito sono solo una di quelle.

Avendo appena completato un progetto PHP da solo, ci siamo assicurati di usare le seguenti tattiche per proteggere il nostro sito: (nota che non abbiamo archiviato le informazioni della carta di credito)

• Ottieni un certificato SSL valido, reindirizza tutte le richieste non sicure a https e abilita HSTS
• Convalida TUTTO l'input dell'utente. Non mi interessa se si tratta di un nome utente o un commento o un'intestazione di indirizzo IP. TUTTO deve essere convalidato prima che tocchi il codice di elaborazione.
  • PHP ha alcuni utili filtri per convalidare e disinfettare molti dati diversi
  • Non dipendere dalla convalida sul lato client. Gli utenti malintenzionati possono facilmente aggirare questo problema.
• Utilizzare un WAF con il set di regole di base di OWASP ModSecurity
  • Mentre un WAF aiuta a fermare molti attacchi comuni, dovrebbe essere usato solo su un programma ben progettato. Il tuo sito dovrebbe essere al sicuro da questi attacchi senza usare un WAF.
• Assicurati che i cookie siano httponly e protetti
• Utilizza query parametrizzate quando si ha a che fare con l'input dell'utente. La PDO non può proteggerti se semplicemente inserisci una stringa di input dell'utente nella tua query e poi la passa sopra.
  • Idealmente, dovresti anche usare query parametrizzate ogni volta che invii qualsiasi dati al database. AFAIK non influisce in modo sensibile sulle prestazioni e potrebbe salvarti contro le iniezioni SQL.
• Chiedi a un tester di sicurezza indipendente di dare un'occhiata al tuo sito. Potrebbero vedere problemi che non hai notato
• Non copiare MAI il codice senza capire cosa fa. Puoi proteggere correttamente il tuo codice solo se sai dove si trovano i potenziali problemi.
• Non conservare nulla che non devi. Più tieni, più alto è il valore dei tuoi dati per gli altri

Oltre a questo, sono diventato molto più attento alla sicurezza dopo aver letto i blog sulla sicurezza (penso che Troy Hunt abbia un blog eccellente) e seguendo un corso di hacking etico della durata di mezzo anno.

Ci sono ovviamente molti altri modi per proteggere il tuo sito web, ma questo è tutto ciò che potrei pensare al momento della scrittura.

Gli hacker hackerano per molte ragioni: per usare il tuo sito per mascherare altre attività, per ottenere informazioni personali, per trovare elenchi di e-mail / password che possono usare altrove, per fare dichiarazioni, per trovare informazioni sulle informazioni bancarie, per trovare altri personali informazioni, solo per divertimento ...

Se non presti attenzione alla sicurezza, verrai violato. Se non segui le migliori pratiche, verrai violato. Non si dovrebbe assolutamente usare MD5 - utilizzare un algoritmo di hashing della password progettato specificamente per lo scopo - MD5 è danneggiato, utilizzare PBKDF2 o simili. Devi preoccuparti della OWASP Top Ten - SQL Injection in particolare.

Dai suoni, devi dedicare molto tempo alla tua istruzione - inizia dal sito OWASP - o devi assumere un esperto di sicurezza.

No.

Devi fare una valutazione del rischio. Ci sono una varietà di metodologie differenti là fuori, ma in generale saranno tutte comprese le seguenti fasi.

1. Che valore offre il tuo sito web?
2. Chi ha un interesse / motivazione per degradare quel valore?
   1. gli hacker possono scegliere di hackerare il tuo sito per dimostrare che possono.
   2. gli hacker possono scegliere di hackerare il tuo sito per fornire servizi ad altri (hai messo un server su internet - l'hacker potrebbe cancellare il tuo sito ed eseguire il proprio sito dal tuo server, sono a conoscenza di casi di siti pornografici che sono ospitati da persone inconsapevoli).
   3. Gli hacker possono scegliere di hackerare il tuo sito per ottenere l'accesso ai dati che sono preziosi (che può essere il numero della carta di credito, ma possono anche essere altre informazioni.
   4. Gli hacker possono scegliere di hackerare il tuo sito perché c'è un vantaggio nel degradare l'integrità delle informazioni sul tuo sito. (alterazione, limitazione, ecc.) Se le informazioni fornite sono di valore, in generale c'è un certo valore nel corrompere tali informazioni. I concorrenti potrebbero voler aumentare il loro valore relativo diminuendo il valore.
   5. Gli hacker possono scegliere di hackerare il tuo sito perché possono ottenere un vantaggio diminuendo la tua disponibilità. (Tutto il film "The Sting" era basato su questo).
   6. Chi altri fornisce servizi / beni / valore in concorrenza con il tuo? Chi sarà danneggiato dai servizi / beni / valore che fornisci?
3. Se volessi danneggiare il valore del tuo sito web, cosa faresti?

A questo punto stai correndo il rischio reale. Potresti voler esaminare il modello Microsoft STRIDE, il modello NIST 800-37, OCTAVE, FAIR o una dozzina di altri modelli per aiutarti a comprendere i rischi / le vulnerabilità.

Potresti desiderare di google "hacker", che ti forniranno un'immagine più ampia e migliore del comportamento degli hacker rispetto al modello semplice che proponi.