Mariakozlova Apr 19 2017 at 10:43

Как подойти к анализу сайта с точки зрения взломщика и выявить уязвимости?

6 min

25K

HOSTING.cafe corporate blogSystem Analysis and Design * Information Security * Web services testing *

Recovery Mode

Translation

+16

Comments 9

alexoron Apr 19 2017 at 18:15

Теперь ваша очередь

Спасибо за интересную статью, вызов принял.
Темой безопасности заинтересовался сравнительно недавно. Точнее после ознакомления с информацией обо Stuxnet.

strlock Apr 27 2017 at 12:08

Пользовались Detectify, знаем)
1. Мгого false-positive
2. Перепутал javascript document.location с хедером Location
3. Такое впечетление, что каждый раз сканирует только часть сайта, и потому каждый раз находит новые проблемы.
Лучше уж крякнутый Acunetix))

Mr_Franke Apr 19 2017 at 18:24

Проверьте верстку на Macbook 13"
Попап с гайдом уходит за края экрана и при этом выключен скролл.

a_tito_v Apr 19 2017 at 18:24

хорошая реклама

unsafePtr Apr 19 2017 at 19:59

Как быть если я хочу протестировать свой сайт до его запуска в production?

kamtec1 Apr 19 2017 at 20:26

Detectify слабенький.
Проверил я на пару сайтов включая wordpress и cdn (cloudflare) и пришел к выводу что сыроват (странно что в 2013 они не видели FALSE POSITIVE на cloudflare...).
Много FALSE POSITIVE…
Так что есть над чем поработать у Detectify :)
Другими словами ещё одна утилита скана сайтов.

GrafDL Apr 19 2017 at 22:23

Опять рекламная статья. Зачастили что-то с этим делом. Я ещё понимаю рекламные блоки где-то сбоку. Но вот так — это дело уничтожит репутацию хабра рано или поздно. То у них CRM постоянно какая-то, то PVS studio. Теперь вот это.

iClo Apr 27 2017 at 12:07

Да ладно вам. Вспомните времена раздела "Я пиарюсь". Была куча банальной рекламы с маркетинговыми соплями, но и находились прекрасные материалы. Так же и тут, только Хабр финансово в плюсе. Те же PVS постоянно пытаются разнообразить свои тексты и пишут достаточно интересно.

khaletskiy Apr 19 2017 at 22:23

Как я понимаю такие сервисы: если это CMS известная, то по уязвимостям, как минимум, можно глянуть используемую версию, найти закрытые ишьюс и что-то выдать в отчет.ОК. А вот если это «очередной велосипед» и, скажем, проверка на инъекции. Если это на стадии разработки, хоть и указано выше, что не для отладки, и все же, удастся провести инъекцию, то мы увидим это в отчете и не страшно, что были испорчены данные. Касательно дат и регулярности проверок как все это работает в проде, на реальных данных, с реальными бизнесами?