• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Как защитить свой сайт интернет магазина

DmitriyVetrov

New member
02.12.2019
4
0
BIT
0
Всем добра! Открываю интернет магазин интересных товаров. Регистрация на сайте и обратная связь через почту. Вопрос в следующем: может ли хацкер каким то образом, взломать сайт и получить доступ к базе данных покупателей, а именно к связке почта>логин >пароль, так как в личном кабинете есть физический адрес доставки.?
Если это возможно, подскажите стратегию действий, хочу сам себя проверить.
 

Andhacker

Green Team
25.04.2017
125
32
BIT
1
Всем добра! Открываю интернет магазин интересных товаров. Регистрация на сайте и обратная связь через почту. Вопрос в следующем: может ли хацкер каким то образом, взломать сайт и получить доступ к базе данных покупателей, а именно к связке почта>логин >пароль, так как в личном кабинете есть физический адрес доставки.?
Если это возможно, подскажите стратегию действий, хочу сам себя проверить.
Зависит от уязвимости движка интернет магазина (cms). Если в конкретной версии появится уязвимость, то она же будет и на вашем сайте. Злоумышленник может воспользоваться этим и получить доступ к почте и логину.
 

alfabuster

Green Team
04.11.2019
118
12
BIT
19
Спасибо, а как самостоятельно проверить есть ли уязвимость? Какие инструменты есть?
Есть онлайн инструменты, причем бесплатные

На тех же сайтах есть рекомендации по защите. Самое простое, что можно сделать уже сейчас это прописать HTTP заголовки в корне вашего сайта файла .htaccess пропишите основные:

Код:
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Referrer-Policy "no-referrer"
Header always set Feature-Policy "fullscreen 'none' "
Header set Expect-CT 'enforce, max-age=43200, report-uri="https://ваш урл/report"'
</IfModule>

А остальные уже добавляйте либо убирайте, тут как говорится на вкус и цвет...
 

alfabuster

Green Team
04.11.2019
118
12
BIT
19
Злоумышленник может воспользоваться этим и получить доступ к почте и логину.
Доступ к почте злоумышленник получит в том случае если пароль от админки и от почты одинаковый.

Если почта защищена двухфакторной аутентификацией (причем второй фактор не СМС код на телефон, а код с приложения E-Num или Google Autentificator), то злоумышленник получит болт, а не доступ.

К тому же сейчас есть возможно прикрутить 2fa практически на любой сайт. Так что ТС пользуйтесь двухфакторной аутентификацией. Да иногда геморойно вводить все эти коды, но это действенный метод захиты, а безопасность превышего всего...
 

DmitriyVetrov

New member
02.12.2019
4
0
BIT
0
Доступ к почте злоумышленник получит в том случае если пароль от админки и от почты одинаковый.

Если почта защищена двухфакторной аутентификацией (причем второй фактор не СМС код на телефон, а код с приложения E-Num или Google Autentificator), то злоумышленник получит болт, а не доступ.

К тому же сейчас есть возможно прикрутить 2fa практически на любой сайт. Так что ТС пользуйтесь двухфакторной аутентификацией. Да иногда геморойно вводить все эти коды, но это действенный метод захиты, а безопасность превышего всего...
Спасибо за советы, обязательно так и сделаю!
Я наверное немного некорректно задал вопрос, а он был в следующем. Сможет ли злоумышленник заполучить базу данных клиентов (тх логины и пароли), если взломает сайт?
 

Pulsera

Green Team
20.11.2016
181
28
BIT
10
Спасибо за советы, обязательно так и сделаю!
Я наверное немного некорректно задал вопрос, а он был в следующем. Сможет ли злоумышленник заполучить базу данных клиентов (тх логины и пароли), если взломает сайт?
Ну если они хранятся в базе данных, то конечно сможет). А если на сайте еще стоит хеш-функции, то пароли будут просто зашифрованы и их придется злоумышленнику расшифровывать подбором.
 

alfabuster

Green Team
04.11.2019
118
12
BIT
19
Ну если они хранятся в базе данных, то конечно сможет). А если на сайте еще стоит хеш-функции, то пароли будут просто зашифрованы и их придется злоумышленнику расшифровывать подбором.
Как правило, если базу слили, то ее все ровно расшифруют, хоть там даже будет bcrypt, это все упирается во время, а чтобы его сократить, прибегнут к мощной вычислительной технике...
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!