Công cụ tiêu chuẩn nào check bảo mật website?

Loc_Ha_Van · September 15, 2016, 9:39am

Chào các bạn,

Chẳng là mình vừa chuyển qua làm web, vừa vào công ty thì nhận được file report pdf dài 400 trang do khách hàng họ quét bằng phần mềm Acunetix.

Mô tả lỗi chắc mấy ngàn lỗi bao gồm:

Application error message
Session token in URL
HTML form without CSRF protection
Host header attack
Cross site scripting

Nói chung là mỗi loại là từ mấy chục - > trăm lỗi, nó chỉ rạch ròi từng file luôn.

Giờ mình đang muốn hướng mọi người tới 1 site nào khác check tiêu chuẩn dạng:

w3school validator

Không biết bạn nào có trang web nào tiêu chuẩn khi check lỗi bảo mật hoặc cao kiến gì không?

Vì project này bạn trước làm, mình vào đọc code ngồi sửa lại với số lượng lỗi như z không biết khi nào xong.

Cảm ơn các bạn.

dqh · September 15, 2016, 2:34pm

Không có công cụ nào giúp đâu bạn mà nếu có cũng ko thể nào tốt bằng tự kiểm tra/human testing. thường việc này chủ yếu là kinh nghiệm làm nhiều thôi. Công việc kiểm tra lỗi này chính là bước testing ở PHP bạn có thể dùng PHPUnit là phổ biến nhất, cứ mỗi một feature bạn nghĩ mọi trường hợp có thể xảy ra khi tương tác và thực hiện testing rồi fix nếu suốt hiện lỗi. sau đó quăng qua cho nhóm testing nó check 1 lần nữa là được

Loc_Ha_Van · September 15, 2016, 5:08pm

Nó đưa ra khoảng hơn 600 lôi mức high risk bạn à.

Mà code của bạn trước bạn ấy viết rối và base trên Kohana mà framework này bạn đó lấy version cách đây 4-5 năm rồi, toàn dùng Aja để bind data.

Giờ maintain lại thấy rất nhiều thứ.

Bật lại bên khách hàng, chắc chắn mình phải bật rồi nhưng như bạn thấy. Nó báo trong report 600 lôi ở mức high như thế cung khó ăn nói. Thông thường bạn dùng cách nào để thuyết phục họ?

Mình trước giờ chỉ biết lôi SQL Injection, CFRS và fix cho từng dòng code bị ảnh hưởng.

Cảm ơn bạn rất nhiều.

Loc_Ha_Van · September 15, 2016, 5:10pm

Project mình maintain không dùng auto testing bạn à.

Nếu có cung không đến nối như vậy.

Mà trước giờ mình code mình cung không dùng UnitTest, chủ yếu dùng Selenium nhưng theo kịch bản định trước cho 1 hành động lặp đi lặp lại thôi.

dqh · September 16, 2016, 4:14am

Hi tại mình làm quyen với Unitest nên mới khuyên vậy mỗi người có cách test ứng dụng riêng miễn sao đạt hiệu quả là được

Loc_Ha_Van · September 19, 2016, 6:20am

Cảm ơn bạn nhiều.