03. January 2007

Securitatea scripturilor PHP partea 4

In decembrie zoso a scris despre calitatea unei aplicatii web realizata de openmind pentru blueair.

Pe 14 decembrie am avut o discutie cu un om din openmind ca sa incerc sa le raportez un nou bug intr-un site facut tot de ei. Sa spunem ca discutia nu a avut un ton tocmai amical. Am fost acuzat ca voi posta discutia pe blog etc etc etc. Dupa cum i-am promis o sa postez o singura linie din discutie:

(17:47:43) Eu: Nu. O sa fie o singura linie din discutia asta: “OpenMind: rautatea nu are limite asa ca astept sa vad copy paste in blogul tau aceasta discutie”

Dar sa revenim la detalii tehnice fara alte comentarii:

Site-ul la care ma refer este ( sau mai bine zis a fost. momentan este down ) : www.anfp.ro .

Probleme cu site-ul :

  • file inclusion
  • information disclosure
  • sql inclusion
  • client browser denial of service

[openmind1](/images/openmind_2.webpopenmind 2")

Recomandari generale :

  1. Nu puneti online site-uri neauditate din punct de vedere security. Este mult mai ieftin si mai sigur ( cel putin cind ne referim la imaginea unei firme pe web ) ca site-ul sau sa fie auditat inainte de a fi pus online. Tineti minte… Oricum va fi “auditat” mai devreme sau mai tirziu.
  2. Tineti sistemele si aplicatiile updatate.
  3. Inainte de a lucra cu o firma cautati pe net ( use google Luke ) o a treia parere.
  4. Implementati o politica de backup si disaster recovery.
  5. Daca nu va este clar INTREBATI.
Latest Posts