Jak otestovat u webu bezpečnost a správné naprogramování?

MarcelusW

13. 3. 2016 21:31:39

Dobrý den, chci se zeptat, jestli neexistuje nějaký program či aplikace, která by mi otestovala web na:

1) bezpečnost webu (že web není lehce zranitelný z pohledu funkčnosti, ale i uchovávaná data v databázi jsou v bezpečí)

2) programátorské chyby (že ve zdrojovém kódu nejsou chyby, které by například narušovaly SEO či jiné)

Poznámka: mám web vytvořený pomocí redakčního systému Osclass

Díky

13. 3. 2016 21:31:39

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182464

tomve

(22 hodnocení)

13. 3. 2016 21:44:52

1) Jsou, ale to jsou jen pomůcky. Když nevíš co a jak, tak ti stejně nepomůžou.

2) Programátorské chyby nemají vliv na seo, ale na systém.

13. 3. 2016 21:44:52

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182463

TomasX

(4 hodnocení)

13. 3. 2016 23:11:49

1) bezpečnost nemá stav ano nebo ne, ale jedná se o akceptovatelnou míru zabezpečení. Testovacích nástrojů existuje mnoho, je ale nutné správně jejich výsledkům rozumět, vědět co je pro tebe vážná chyba, co naopak ne a různé nástroje budou poskytovat různé výsledky, toť realita.

- Máš-li v tom hodně peněz, dobré zkušenosti mám s penetračními/bezpečnostními testy od české firmy http://www.aec.cz, vše ti vysvětlí, reporty jsou přehledné.

- Máš-li dobré technické zázemí, existuje open projekt https://www.owasp.org nebo http://www.metasploit.com, což jsou top projekty dostupné zdarma

- Mezi ty kvalitnější ve světě patří i Nessus https://www.tenable.com/products/nessus-vulnerability-scanner, mají program pro vyzkoušení, který ti dovolí si jednorázově web otestovat základní sadou testů

- je poměrně běžné, že se používá kombinace automatizovaný skenerů (owasp třeba používáme také často), s ruční kontrolou pomocí celé řady k tomu určených nástrojů (nmap, metasploit atd.) s občasnou kontrolou externí společnosti, jestli pořád je vše ok

- nedoporučuji se do toho pouštět sám, výsledek bude nevalný, protože nebudeš rozumět reportům, nastavení testů a ani přípravě. Pokud ti na tom opravdu záleží, zaplať si firmu nebo jednotlivce, který ti základní kontrolu (třeba nástroji výše) provede a lidsky ti vysvětlí, co máš předat programátorům k úpravě a co je pro tebe zbytečné

2) k tomuhle hledej nástroje pod škatulkou "statická analýza kódu", ale jejich výstup bývá spíše pro programátory a spíše se v tom budeš ztrácet. Jakmile podobný nástroj spustíš na open source projektu typu osclass, WP, prestashop, dostaneš nechutný balík chyb, nedělej to.

- tomve: A ano, i programátorské chyby v tomhle případě mohou mít vliv na seo - duplicitní url, špatné http stavové kódy, špatné kódování stránek, příliš mnoho přesměrování (pro SEO je vhodné nepřekročit 3 v řadě, ideálně pouze jediné), syntaktické chyby v html, které prohlížeče zvládnou, ale roboti od vyhledávačů nikoliv, chyby v sitemapě, ale i bezpečnostní chyby, které umožní dostat útočníkům na stránky škodlivý kód a jakmile něco takového u tebe objeví google, zablokuje tě z výsledků vyhledávání. Těch věcí je ale mnohem víc

- řadu ale podobných chyb odhalí google PageSpeed Insight https://developers.google.com/speed/pagespeed/insights/ nebo Google analytics console (či jak se to jmenuje). Také nástroje z (1) pokryjí spousty těhle chyb

13. 3. 2016 23:11:49

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182462

tomve

(22 hodnocení)

13. 3. 2016 23:25:18

Napsal TomášX;1276233
...

- tomve: A ano, i programátorské chyby v tomhle případě mohou mít vliv na seo - duplicitní url, špatné http stavové kódy, špatné kódování stránek, příliš mnoho přesměrování (pro SEO je vhodné nepřekročit 3 v řadě, ideálně pouze jediné), syntaktické chyby v html, které prohlížeče zvládnou, ale roboti od vyhledávačů nikoliv, chyby v sitemapě, ale i bezpečnostní chyby, které umožní dostat útočníkům na stránky škodlivý kód a jakmile něco takového u tebe objeví google, zablokuje tě z výsledků vyhledávání. Těch věcí je ale mnohem víc

...

Ale to pak není programátor, ale lama nebo děcko s frameworkem...

13. 3. 2016 23:25:18

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182461

TomasX

(4 hodnocení)

14. 3. 2016 12:30:41

tak ano, děcko (klidně už dospělé) s frameworkem je poměrně častý to úkaz, stačí se jen podívat na projekty, které se tady prodávají. Občas se ale podobná chyba stane i zkušeným programátorům a chce mít mechanismus jak to kontrolovat, v opačném případě bychom nepotřebovali tým testerů...

14. 3. 2016 12:30:41

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182460

tomve

(22 hodnocení)

14. 3. 2016 13:33:05

Napsal TomášX;1276357
tak ano, děcko (klidně už dospělé) s frameworkem je poměrně častý to úkaz, stačí se jen podívat na projekty, které se tady prodávají. Občas se ale podobná chyba stane i zkušeným programátorům a chce mít mechanismus jak to kontrolovat, v opačném případě bychom nepotřebovali tým testerů...

Tak občasný kik udělá každý a všude. Mě šlo hlavně o pointu, že tyhle věci má každý, po čase, vychytané (řeší se už u návrhu). Jenže když není rozpočet, není kvalita....

14. 3. 2016 13:33:05

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182459

David Procházka

(39 hodnocení)

14. 3. 2016 14:54:46

Myslím, že je stokrát lepší děcko s frameworkem než "profík" bez…

14. 3. 2016 14:54:46

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182458

tomve

(22 hodnocení)

14. 3. 2016 19:31:07

Napsal Re4DeR;1276395
Myslím, že je stokrát lepší děcko s frameworkem než "profík" bez…

A pak to dopadá, jak to dopadá.

14. 3. 2016 19:31:07

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182457

David Procházka

(39 hodnocení)

15. 3. 2016 11:29:24

jak?

15. 3. 2016 11:29:24

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182456

Gabonator

(1 hodnocení)

15. 3. 2016 11:34:51

Napsal MarcelusW;1276222
Dobrý den, chci se zeptat, jestli neexistuje nějaký program či aplikace, která by mi otestovala web na:
1) bezpečnost webu (že web není lehce zranitelný z pohledu funkčnosti, ale i uchovávaná data v databázi jsou v bezpečí)
2) programátorské chyby (že ve zdrojovém kódu nejsou chyby, které by například narušovaly SEO či jiné)
Poznámka: mám web vytvořený pomocí redakčního systému Osclass
Díky

Dúfam, že sa nepýtate preto aby ste tu nejakému programátorovi, našli akože chyby a nemuseli mu zaplatiť za prácu.

15. 3. 2016 11:34:51

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182455

MarcelusW

15. 3. 2016 11:54:57

Napsal Gabonator;1276597
Dúfam, že sa nepýtate preto aby ste tu nejakému programátorovi, našli akože chyby a nemuseli mu zaplatiť za prácu.

To určitě ne, web mám vytvořený v redakčním systému Osclass a chci se jen přesvědčit, že úpravy a celý web jsou bez vážných chyb. Nebo taky, když tam mám udělané úpravy a doinstaluji tam nějaký plugin, že to spolu bude fungovat správně.

15. 3. 2016 11:54:57

https://webtrh.cz/diskuse/jak-otestovat-u-webu-bezpecnost-a-spravne-naprogramovani/#reply1182454

tomve

(22 hodnocení)

16. 3. 2016 19:34:14