Witajcie.
Tak się zastanawiam czy spotkał się ktoś kiedyś z jakimś zestawem instrukcji, procedur, wskazówek pod tytułem "Jak rozwalić sobie aplikację samemu" :)
Do tej pory pisałem apps na ZF2 i dodatkowo miałem testera który wyłapywał mi luki w bezpieczeństwie. Zwykle się zdarzały jeżeli odchodziłem od procedur zendowskich. Teraz stawiam pierwsze kroki z Yii2 i muszę sam sobie być testerem. Doradzicie na co zwrócić szczególną uwagę w przypadku Yii2? Może ktoś spotkał się z jakimś babolem w tym frameworku?
0
0
Spoko ja Ci nawet mogę podesłać gotową aplikację do tego celu :-) Tylko nie wiem czy tak łatwo uda Ci się później zabezpieczyć aplikację przed tego typu symulowanym atakiem na localhosta :-) O jakiego typu zabezpieczenia Ci chodzi, bo SQL Injection to frameworki powinny mieć chyba w standardzie, podobnie zresztą XSS czy tam CSRF.
0
SQL Injection to sobie sprawdziłem Yii2 radzi sobie z tym doskonale, ale jeszcze zastanawiam się czy istnieją jakieś bardziej zaawansowane możliwości testowania pod tym kątem.
Ogólnie chodzi mi o jakiś zbiór punktów na które należy zwrócić uwagę tak aby później średnio ogarnięty dowcipniś nie rozczłonkował mi strony dla zabawy. Dodam, że nie, nie oszukuję się, że zabezpieczę swoją app w 100% :)
0
Ostatnio napisałem sobie taki moduł antyspamowy, z tym że pod Kohana w celu ochrony formularza kontaktowego przed spamerami, działa to w ten sposób że jeśli requesty występują np. częściej niż co kilka sekund albo i mniej i zostaje przekroczona ich ustalona ilość, to taki dowcipmiś dostanie po prostu bana na jakiś czas (dostanie komunikat), dajmy na to 24 h i nie będzie miał dostępu do formularza. Powinno to chyba zabezpieczyć stronę przed spamerami botami wstawiającymi jakieś treści ponieważ moduł uniemożliwi operację z konkretnego IP. A przynajmniej tak przypuszczam bo pod kątem automatów nie testowałem tego (musiałbym sobie coś takiego napisać chociażby w pythonie). Ale ręcznie z poziomu przeglądarki działa.