Mysql
 sql >> डेटाबेस >  >> RDS >> Mysql

वेब अनुप्रयोगों में सुरक्षा कमजोरियों के लिए परीक्षण:सर्वोत्तम अभ्यास?

SQL इंजेक्शन और XSS सबसे आम गलतियाँ हैं जो प्रोग्रामर करते हैं। अच्छी खबर यह है कि जब तक आपके पास सही सॉफ़्टवेयर है, तब तक वे स्वचालित रूप से परीक्षण करने में आसान होते हैं। जब मैं पेंटेस्ट पर होता हूं तो मैं Sitewatch का उपयोग करता हूं या Wapiti वेब एप्लिकेशन कमजोरियों को खोजने के लिए। एक्यूनेटिक्स की कीमत अधिक है।

लेकिन, आप केवल कुछ स्वचालित टूल को बंद नहीं कर सकते हैं और सब कुछ काम करने की उम्मीद कर सकते हैं। कोई भी . के साथ आपको कई सावधानियां बरतनी चाहिए भेद्यता स्कैनर आप चुनते हैं।

1) सुनिश्चित करें कि आपके php.ini में display_errors=On Sql इंजेक्शन परीक्षण प्रतिक्रिया पृष्ठों में mysql त्रुटि संदेशों को देखने में सक्षम होने पर निर्भर करता है! कोई त्रुटि नहीं, कोई भेद्यता नहीं मिली!

2) अपने आवेदन के प्रमाणित क्षेत्रों को स्कैन करें। विशेष रूप से परीक्षण के लिए एक उपयोगकर्ता खाता बनाएँ। Acuentix में एक आसान विज़ार्ड है जहाँ आप एक लॉगिन अनुक्रम बना सकते हैं। यदि आप wapiti का उपयोग कर रहे हैं तो आप wapiti को कुकी दे सकते हैं या wapiti को आग लगाने के लिए एक पोस्ट अनुरोध दे सकते हैं लेकिन यह एक तरह से मुश्किल है।

बाद में आपने अपने एप्लिकेशन का परीक्षण कर लिया है, फिर गलत कॉन्फ़िगरेशन के लिए अपने सर्वर का परीक्षण कर लिया है। अपने सर्वर का परीक्षण करने के लिए आपको OpenVAS चलाने की आवश्यकता है। जो Nessus का नया अधिक मुक्त संस्करण है जो अब एक व्यावसायिक उत्पाद है। फिर आपको PhpSecInfo के साथ इसका अनुसरण करना चाहिए . ये परीक्षण आपको आपके कॉन्फ़िगरेशन की समस्याओं के बारे में सूचित करेंगे या यदि आप पुराने असुरक्षित सॉफ़्टवेयर चला रहे हैं।

कुछ भी कभी भी 100% सुरक्षित नहीं होगा, कभी भी . कोई फर्क नहीं पड़ता कि आप क्या करते हैं, कमजोरियां हैं जो दरार के बावजूद फिसल जाएंगी। सभी विकास प्लेटफार्मों में कमजोरियां हैं जो एक समझौता करती हैं जिसका कोई भी उपकरण परीक्षण नहीं कर सकता है। आपके द्वारा उपयोग किए जाने वाले परीक्षण टूल में भी बग हैं। झूठे पोस्ट और झूठे नकारात्मक और कुछ परीक्षण हैं जो सिर्फ काम नहीं करते , एक अच्छा उदाहरण मैंने कभी एक स्वचालित सीएसआरएफ उपकरण नहीं देखा है जो वास्तव में वैध कमजोरियों का पता लगाता है। एक्यूनेटिक्स का सीएसआरएफ परीक्षण समय की पूरी बर्बादी है।

OWASP परीक्षण मार्गदर्शिका भी है। जो अधिक विस्तार से जाता है। इसे OWASP टॉप 10 से भ्रमित नहीं होना चाहिए। जो एक उत्कृष्ट संसाधन भी है। PHP सुरक्षा गाइड PHP प्रोग्रामर्स के लिए भी एक बेहतरीन संसाधन है।



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. PHP/MySQL में सप्ताह (दिनांक) का उपयोग करते समय मैं सप्ताह के पहले दिन को सोमवार तक कैसे सेट करूं?

  2. जेडीबीसी चालक नहीं मिला

  3. mysql में कॉलम के नीचे योग दिखाएं

  4. एक गतिशील तालिका में HTML तत्वों के मूल्यों को कैप्चर करें

  5. डेटाबेस से निकटतम (दूरी) रिकॉर्ड को प्रभावी ढंग से चुनना