Comment procéder pour que son code soit «validé» afin de s'assurer qu'il est suffisamment sécurisé pour être rendu public? En d'autres termes, si j'ai écrit une application PHP et que j'ai fait des efforts pour assainir toutes les entrées, existe-t-il un moyen ou un service couramment utilisé/accepté où un ou plusieurs experts peuvent vérifier qu'il est suffisamment sécurisé? ?Service de vérification de code? (Langues Internet - PHP/ASP/Javascript)
Répondre
Eh bien, je serai franc ici. Non. Il n'y a pas de méthode connue que vous pouvez utiliser pour vous dire si elle est "suffisamment sécurisée" ... C'est un problème très difficile (après tout, même les grandes sociétés de logiciels ont parfois des problèmes massifs).
Il existe un number of automated testing tools available. Je n'ai vraiment rien de positif à dire sur aucun d'entre eux. Certains sont meilleurs que d'autres, j'en suis sûr. Mais le groupe (environ 5) que j'ai essayé personnellement était horriblement inexact (on a trouvé plus de 20 000 vulnérabilités, chacun étant un faux positif). Et le problème est que vous devez savoir ce que vous faites pour déterminer avec précision si c'est un faux positif, ou comment le réparer si ce n'est pas le cas.
La meilleure méthode si vous pouvez vous le permettre est d'engager un expert en sécurité PHP professionnel pour examiner la base de code. Remarque, je parle d'un expert réel, pas seulement une entreprise qui prétend faire le service (depuis - plus que jamais dans mon expérience - le plus souvent ils essaient simplement de capitaliser sur le marché).
Cela étant dit, si vous vraiment voulez que quelqu'un jette un coup d'oeil, engagez une entreprise de sécurité de bonne réputation. Essayez de lire sur certaines ressources de sécurité afin de pouvoir vérifier vous-même (ou du moins commencer à écrire du code plus sécurisé) ... sans ordre particulier:
- PHP Security at PHPFreaks.com
- The security section of PHP.net's documentation
- The PHP Security Consortium
- Chris Shiflett's book on PHP Security
- OWASP
Il y a des tonnes de plus, il suffit de regarder ...
Découvrez Skipfish - c'est gratuit et open source, et fait un bon travail d'analyse des sites pour XSS et les vulnérabilités de type injection. Il propose certaines choses qui pourraient être considérées comme des «faux positifs», mais c'est mieux que rien. –
Bien répondu. Merci :) – MrVimes
- 1. Vérification de la connexion Internet
- 2. Problème de vérification de connectivité Internet Android
- 3. Vérification de l'accès à Internet avec monotouch
- 4. Recherche de code Google - langues manquées
- 5. Service de vérification d'adresse avec paypal api
- 6. Ajax/PHP Contact Code de vérification échoue
- 7. Vérification du code de réponse C#
- 8. Appels de façade de service - Vérification de sécurité
- 9. Service de vérification d'activité Android pour démarrer une autre activité
- 10. Langues de cinquième génération?
- 11. .htaccess: redirection de langues
- 12. Vérification de l'état de l'icône de connectivité Internet via la ligne de commande
- 13. Vérification de l'accessibilité de l'iPhone
- 14. Le service de vérification s'exécute à partir d'une DLL
- 15. Comment ajouter le service de vérification à un site Web?
- 16. Service de vérification orthographique avec python utilisant mod_python
- 17. Vérification de la définition du service WCF/ADO.NET
- 18. Facebook Graph API: réutiliser la chaîne de vérification de code?
- 19. "Format de code de vérification non valide." facebook oauth error
- 20. Auto-vérification de la signature de code OS X
- 21. Accéder au service WCF via Internet?
- 22. Accéder au service WCF via Internet
- 23. L'application iPhone se bloque lors de la vérification de la connectivité Internet
- 24. Couverture de code de service Web VS2008
- 25. Vérification de la connexion Internet avec la ligne de commande PHP sur Linux
- 26. Vérification de l'état des machines?
- 27. Utilisation de différentes langues .Net?
- 28. Vérification du code JavaScript au-delà de JSLint
- 29. Une chaîne aléatoire est un bon code de vérification
- 30. Vérification de l'activation des CustomErrors dans le code
connexes: http://stackoverflow.com/questions/72394/what-should-a-developer-know-before-building-a -public-web-site –
Cherchez-vous l'analyse de code statique ou pour une sorte de tester le site Web (par exemple entrer automatiquement une entrée malveillante dans les éléments '') – NikiC