• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Приглашаем на KubanCTF

    Старт соревнований 14 сентября в 10:00 по москве

    Ссылка на регистрацию в соревнованиях Kuban CTF: kubanctf.ru

    Кодебай является технологическим партнером мероприятия

Как защитить свой сайт интернет магазина

D

DmitriyVetrov

New member
02.12.2019
4
0
BIT
0
Всем добра! Открываю интернет магазин интересных товаров. Регистрация на сайте и обратная связь через почту. Вопрос в следующем: может ли хацкер каким то образом, взломать сайт и получить доступ к базе данных покупателей, а именно к связке почта>логин >пароль, так как в личном кабинете есть физический адрес доставки.?
Если это возможно, подскажите стратегию действий, хочу сам себя проверить.
 
Сортировать по дате Сортировать по голосам
Andhacker

Andhacker

Green Team
25.04.2017
125
32
BIT
1
DmitriyVetrov сказал(а):
Всем добра! Открываю интернет магазин интересных товаров. Регистрация на сайте и обратная связь через почту. Вопрос в следующем: может ли хацкер каким то образом, взломать сайт и получить доступ к базе данных покупателей, а именно к связке почта>логин >пароль, так как в личном кабинете есть физический адрес доставки.?
Если это возможно, подскажите стратегию действий, хочу сам себя проверить.
Нажмите, чтобы раскрыть...
Зависит от уязвимости движка интернет магазина (cms). Если в конкретной версии появится уязвимость, то она же будет и на вашем сайте. Злоумышленник может воспользоваться этим и получить доступ к почте и логину.
 
За 0 Против
alfabuster

alfabuster

Green Team
04.11.2019
118
12
BIT
19
DmitriyVetrov сказал(а):
Спасибо, а как самостоятельно проверить есть ли уязвимость? Какие инструменты есть?
Нажмите, чтобы раскрыть...
Есть онлайн инструменты, причем бесплатные
Ссылка скрыта от гостей


На тех же сайтах есть рекомендации по защите. Самое простое, что можно сделать уже сейчас это прописать HTTP заголовки в корне вашего сайта файла .htaccess пропишите основные:

Код: 
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Referrer-Policy "no-referrer"
Header always set Feature-Policy "fullscreen 'none' "
Header set Expect-CT 'enforce, max-age=43200, report-uri="https://ваш урл/report"'
</IfModule>

А остальные уже добавляйте либо убирайте, тут как говорится на вкус и цвет...
 
За 0 Против
alfabuster

alfabuster

Green Team
04.11.2019
118
12
BIT
19
Andhacker сказал(а):
Злоумышленник может воспользоваться этим и получить доступ к почте и логину.
Нажмите, чтобы раскрыть...
Доступ к почте злоумышленник получит в том случае если пароль от админки и от почты одинаковый.

Если почта защищена двухфакторной аутентификацией (причем второй фактор не СМС код на телефон, а код с приложения E-Num или Google Autentificator), то злоумышленник получит болт, а не доступ.

К тому же сейчас есть возможно прикрутить 2fa практически на любой сайт. Так что ТС пользуйтесь двухфакторной аутентификацией. Да иногда геморойно вводить все эти коды, но это действенный метод захиты, а безопасность превышего всего...
 
За 0 Против
D

DmitriyVetrov

New member
02.12.2019
4
0
BIT
0
alfabuster сказал(а):
Доступ к почте злоумышленник получит в том случае если пароль от админки и от почты одинаковый.

Если почта защищена двухфакторной аутентификацией (причем второй фактор не СМС код на телефон, а код с приложения E-Num или Google Autentificator), то злоумышленник получит болт, а не доступ.

К тому же сейчас есть возможно прикрутить 2fa практически на любой сайт. Так что ТС пользуйтесь двухфакторной аутентификацией. Да иногда геморойно вводить все эти коды, но это действенный метод захиты, а безопасность превышего всего...
Нажмите, чтобы раскрыть...
Спасибо за советы, обязательно так и сделаю!
Я наверное немного некорректно задал вопрос, а он был в следующем. Сможет ли злоумышленник заполучить базу данных клиентов (тх логины и пароли), если взломает сайт?
 
За 0 Против
Pulsera

Pulsera

Green Team
20.11.2016
181
28
BIT
10
DmitriyVetrov сказал(а):
Спасибо за советы, обязательно так и сделаю!
Я наверное немного некорректно задал вопрос, а он был в следующем. Сможет ли злоумышленник заполучить базу данных клиентов (тх логины и пароли), если взломает сайт?
Нажмите, чтобы раскрыть...
Ну если они хранятся в базе данных, то конечно сможет). А если на сайте еще стоит хеш-функции, то пароли будут просто зашифрованы и их придется злоумышленнику расшифровывать подбором.
 
За 0 Против
alfabuster

alfabuster

Green Team
04.11.2019
118
12
BIT
19
Pulsera сказал(а):
Ну если они хранятся в базе данных, то конечно сможет). А если на сайте еще стоит хеш-функции, то пароли будут просто зашифрованы и их придется злоумышленнику расшифровывать подбором.
Нажмите, чтобы раскрыть...
Как правило, если базу слили, то ее все ровно расшифруют, хоть там даже будет bcrypt, это все упирается во время, а чтобы его сократить, прибегнут к мощной вычислительной технике...
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ