"Check your PHP scripts for vulnerabilities with Acunetix WVS" - Så lyder citatet för ett avancerat säkerhetsverktyg som används för att avläsa hemsidor efter säkerhetsluckor. Här kommer lite information.
Acunetix är ett företag som har målet att skapa ett verktyg för avläsning av alla typer av hemsidor och sedan ta reda på om det finns några säkerhetsluckor närvarande. De har verkligen lyckats - "Acunetix Web Vulnerability Scanner". Skaparna är väl utbildade och har väldigt höga erfarenheter som säkerhetsexperter.
Verktyget testar alla möjliga attacker mot en vald sajt och listar sedan hot, lösningar, varningar och detaljerad information om varje attack. Det testar bland annat om vald sajt är skyddad mot "SQL Injection", "Cross Site Scripting (XSS)", "CRLF Injection", "Javascript and AJAX" med mera.
Det är ett utmärkt verktyg för er som är webbutvecklare/webbprogrammerare inom PHP, ASP eller liknande för att enklare ta reda på vad ni har glömt skydda, eller vad ni måste skydda som ni inte redan visste. Efter varje test värderas säkerhetsrisken i tre olika kategorier:
- Låg (low)
- Medium (medium)
- Hög (high)
Notis:
- Hacker = En person som utnyttjar säkerhetsluckor för att utforska IT system.
- Cracker = En person som förstör och saboterar IT system efter att ha utnyttjat en eller flera säkerhetsluckor.
Att tänka på
Det spelar ingen roll hur många brandväggar och antispywareskydd ni har i systemet för att skydda er webbserver eller databas. Det räcker med en svaghet i en av era hemsidor som kör serverbaserade skript för att en illasinnad person ska kunna ta sig in.
Tips från coachen (mig själv)
- Kontrollera och verifiera alltid indata. Det spelar ingen roll om det är indata från en databas, fil, uppladdning, körbara filer, en kaka (cookie), eller annan hemsida. Kontrollera alltid indata för den kan ha blivit manipulerad.
- Spara alltid lösenord som en kontrollsumma, typ SHA1, MD5. Om någon skulle råka få tillgång till platsen där de lagras (exv. databas) så kan de inte använda lösenordet för att logga in. Det är också nästan omöjligt att knäcka.
- Förlita er aldrig på kontroller för indata på klientsidan (oftast javascript i webbläsaren) eftersom det enkelt kan raderas och modifieras.
Lite om mig
Jag är en programmerare och nätverkstekniker som är väldigt intresserad om allt som har med IT-säkerhet att göra, därav denna artikeln. Kommer kanske börja på högskola till hösten och läsa Cisco och fortsatt programmering.
Källor
www.acunetix.com
Inga kommentarer:
Skicka en kommentar