9 conseils de sécurité pour protéger votre site contre les pirates, Bloq Creative
01. Logiciel de tenir à jour
Si vous utilisez une solution d'hébergement géré, alors vous ne devez pas vous inquiéter beaucoup sur l'application des mises à jour de sécurité pour le système d'exploitation que la société d'hébergement devrait prendre soin de cela.
02. injection SQL
attaques par injection SQL sont quand un attaquant utilise un champ de formulaire Web ou d'un paramètre d'URL pour accéder ou manipuler votre base de données. Lorsque vous utilisez SQL standard Transact il est facile d'insérer le code, sans le savoir rogue dans votre requête qui pourrait être utilisé pour changer les tables, obtenir des informations et de suppression des données. Vous pouvez facilement éviter cela en utilisant toujours des requêtes paramétrées, la plupart des langages web ont cette fonctionnalité et il est facile à mettre en œuvre.
Considérez cette requête:
Si un attaquant a changé le paramètre d'URL pour transmettre dans « ou « 1 »= » 1 cela entraînera la requête pour ressembler à ceci:
Depuis « 1 » est égal à « 1 » cela permettra à l'attaquant d'ajouter une requête supplémentaire à la fin de l'instruction SQL qui sera également exécutée.
Vous pouvez corriger cette requête par paramétrage explicitement. Par exemple, si vous utilisez MySQLi en PHP cela devrait devenir:
La clé ici est de se concentrer sur la façon dont le contenu généré par l'utilisateur de votre pourrait échapper aux limites que vous attendez et être interprété par le navigateur comme autre chose que ce que vous aviez l'intention. Ceci est similaire à la défense contre l'injection SQL. Lorsque dynamiquement générer une page HTML, les fonctions d'utilisation qui font explicitement les changements que vous recherchez (par exemple, utiliser element.setAttribute et element.textContent, qui sera échappé automatiquement par le navigateur, plutôt que de mettre element.innerHTML à la main), ou des fonctions d'utilisation dans votre outil de templating qui font automatiquement Escaping appropriée, plutôt que des chaînes concaténer ou le réglage du contenu HTML brut.
04. Messages d'erreur
Soyez prudent avec la quantité d'informations que vous donnez dans vos messages d'erreur. Fournir seulement un minimum d'erreurs à vos utilisateurs, afin d'assurer qu'ils ne fuient pas les secrets présents sur votre serveur (par exemple des clés API ou des mots de passe de base de données). Ne pas fournir tous les détails d'exception non plus, car ceux-ci peuvent faire des attaques complexes comme l'injection SQL beaucoup plus facile. Gardez les erreurs détaillées dans vos journaux de serveur, et montrer aux utilisateurs que les informations dont ils ont besoin.
05. côté serveur validation de validation / formulaire
06. Les mots de passe
07. Le transfert de fichiers
Alors, que pouvez-vous faire pour empêcher cela? En fin de compte que vous voulez empêcher les utilisateurs d'être en mesure d'exécuter un fichier téléchargent. Par les serveurs Web par défaut ne tentera pas d'exécuter des fichiers avec des extensions d'image, mais il est recommandé de ne pas compter uniquement sur la vérification de l'extension de fichier en tant que fichier avec le image.jpg.php nom a été connu pour traverser.
Certaines options sont de renommer le fichier lors du téléchargement pour assurer l'extension de fichier correct, ou pour modifier les autorisations de fichiers, par exemple, chmod 0666 ne peut donc pas être exécuté. Si vous utilisez * nix vous pouvez créer un fichier .htaccess (voir ci-dessous) qui ne vous permettra d'accéder à des fichiers mis en empêchant la double attaque d'extension mentionnée plus haut.
Assurez-vous que vous avez une configuration de pare-feu, et bloquez tous les ports non essentiels. Si possible la mise en place d'une zone démilitarisée (zone démilitarisée) ne permettant l'accès au port 80 et 443 du monde extérieur. Bien que cela puisse ne pas être possible si vous n'avez pas accès à votre serveur à partir d'un réseau interne que vous auriez besoin d'ouvrir des ports pour permettre le téléchargement de fichiers et de se connecter à distance à votre serveur via SSH ou RDP.
Si vous autorisez fichiers à charger à partir d'Internet utiliser uniquement des méthodes de transport sécurisé à votre serveur tels que SFTP ou SSH.
Si possible, avoir votre base de données en cours d'exécution sur un serveur différent de celui de votre serveur Web. Faire cela signifie que le serveur de base de données ne peut pas être directement accessible depuis le monde extérieur, que votre serveur Web peut y accéder, ce qui minimise le risque de vos données exposées.
Enfin, ne pas oublier de restreindre l'accès physique à votre serveur.
HTTPS est un protocole utilisé pour assurer la sécurité sur Internet. HTTPS garantit aux utilisateurs qu'ils parlent au serveur qu'ils attendent, et que personne ne peut intercepter ou modifier le contenu qu'ils voient en transit.
Ce n'est plus aussi difficile ou coûteux, car il était une fois bien. Let Crypter offre totalement gratuit et des certificats automatisés, que vous devrez activer le protocole HTTPS, et il existe des outils communautaires existants disponibles pour un large éventail de plates-formes et de cadres communs pour définir automatiquement ce pour vous.
Vous utilisez déjà HTTPS partout? Aller plus loin et regarder la configuration HTTP Strict Sécurité des transports (HSTS), un en-tête facile, vous pouvez ajouter à vos réponses du serveur HTTP à désavouer non sécurisé pour votre domaine.
Certains outils gratuits qui sont dignes d'intérêt à:
Alors, que devez-vous essayer de modifier à la demande? Si vous avez des pages qui ne devraient être visibles à un utilisateur connecté alors j'essayer de modifier les paramètres d'URL comme l'ID utilisateur, ou des valeurs de cookie pour tenter de voir les détails d'un autre utilisateur. Un autre domaine des tests de valeur sont des formes, changer les valeurs POST pour tenter de soumettre le code pour effectuer XSS ou pour télécharger un script côté serveur.
Il y a aussi quelques modules utiles disponibles pour CMSes pour vérifier l'installation des failles de sécurité communes telles que la sécurité d'examen pour Drupal et WP Scan for WordPress sécurité.