Отчёт веб безопасности

[EmptyR]

Решил в последнее время привести свои "гневные" высказывания по состоянию веб безопасности сайтов к какому то понятному, легко читаемому виду. Родилась такая идея - создавать .doc файлы, в которых чётко, по пунктам расписаны такие вещи как:

1. Домены
2. Порты
3. Конфигурации
4. SEO
5. Другие параметры
6. Ошибки безопасности
7. Дополнительные рекомендации​

Выкладываю сюда свою наработку, чтобы уважаемые форумчане или подсказали, чего не хватает, или покритиковали существующие пункты (возможно я что-то упустил).
В примерном файле идёт разбор сайта, который уже заведомо имеет уязвимый параметр SQLinj, любезно предоставленный 1ive, за что ему большое спасибо.

 

[1ive]

Пункт "SEO" IMHO совсем не в тему))
Лучше раздел "Актуальность ПО" сделай, чтоб "устаревший" апач в критические уязвимости не пихать.



Я понимаю что это пример, но если написал что это разбор определенного сайта, так и пиши только то, что к сайту относится)

XSS? Где ж ты её там нарыл?)) Никакого вывода там нет, поэтому XSS в принципе быть не может)
Для тех, кто не в теме -

Ссылка скрыта от гостей

- намерено уязвимый скрипт-головоломка)

Устаревшая версия PHP (5.3.3) и Apache (2.2.16) . Стебешься?) Гдеж она устаревшая? Просто "не последняя"
Ты это хостеру скажи, посмотрю куда он тебя с твоими "критическими уязвимостями" отправит.
Лучше отдельный раздел сделай, типа "Актуальность ПО"


Стандартная страница ошибок Apache:
Пример реализации:

Ссылка скрыта от гостей

Да ладно?? Нету ничего такого. И небыло

 

[EmptyR]

Лучше раздел "Актуальность ПО" сделай, чтоб "устаревший" апач в критические уязвимости не пихать.

Хорошая идея, учту.

Устаревшая версия PHP (5.3.3) и Apache (2.2.16) . Стебешься?) Гдеж она устаревшая? Просто "не последняя"

Окей, учту.

Стандартная страница ошибок Apache:
Пример реализации:

Ссылка скрыта от гостей

Да ладно?? Нету ничего такого. И небыло

​

Разве на картинке не видно по этому адресу стандартной страницы ошибок Apache???

XSS? Где ж ты её там нарыл?)) Никакого вывода там нет, поэтому XSS в принципе быть не может)

А это что такое тогда?

​

Итог: Или я что то не понимаю, или ты, одно из двух.

 

[1ive]

Со страницей ошибок ступил(
Не до конца понял о чем речь ( Это кстати тоже учти)) Человек должен понимать о чем говориться в этом .doc )

А вот с XSS кто-то из нас не прав.
Сейчас покажу))

Ссылка скрыта от гостей

- попробуй POST-ом из этой формы передать код)
Никаких изменений в код netakie.ws я не вносил, а это обычная post-форма передающая "SQLinj"
Ничего!) И даже быть не может.


Хотя в принципе разговор не об этом)
Оформление документа нужно изменить..
Чтобы всё поприятнее выглядело.

И есть еще одно предложение, это в личке продолжим, если хочешь.

 

[EmptyR]

в личке продолжим, если хочешь.

Не против.