Безопасность CRM. С чего начать и чем закончить?



@nevesoff

Привет, всегда был по ту сторону монитора и достал много важных для себя моментов с этого сообщества, но пришло время самому задать вопрос, так как устал собирать ответы из разных источников в одну кучу 😀

Пишу CRM систему, ничего мегакрутого, но она заточена под определенные задачи моего интернет-магазина. И если с самой разработкой все понятно, то вот с безопасностью возникают некоторые вопросы. Нужны советы знающих людей, которые на это не только собаку съели.

CRM построена на Jquery, AJAX, PHP, HTML5, CSS3.

1. Есть ли возможность скрыть js, php файлы из инструментов разработчика, а конкретно из панели Sources и Network?
2. Как можно скрыть параметры запросов AJAX во вкладке Network (Графа Headers)?
3. Нужно ли минимизировать файлы JS для безопасности, а не для скорости обработки?
4. Файл .htaccess — насколько серьезно отнестись к скрытию расширений файлов?
5. Файл .htaccess — нужна ли такому продукту защита от SQL-иньекций и вредных запросов? Как ее лучше реализовать?
6. Стоит ли опасаться cookie и какие данные туда можно записывать, а какие не желательно из соображений безопасности?

Помимо этих вопросов, буду также услышать Ваш опыт в сфере безопасности WEB-ресурсов, может кто-то пользуется какими-то лайфхаками)

Заранее всем спасибо за помощь


Решения вопроса 2



@ThunderCat

1) никак, да и незачем. файлы жс уже находятся на клиенте, так что все что вы можете — обфусцировать код, но кому надо и так разберется, а кому не надо пофиг в любом виде. Относительно пхп файлов — иx и так никто не увидит с клиента, они исполняются на сервере, и клиенту доходит только результат выполнения скрипта.
2) Никак. Если у вас передаются через запросы какие-либо данные которые не должен видеть пользователь, значит что-то пошло не так.
3) По вкусу, безопасность это никак не гарантирует.
4) Странный вопрос, суть которого вообще не ясна.
5) Выдает с головой полное непонимание что и как устроено и что за что отвечает.
6) Куки не страшные, опасаться не стоит, еще не зарегистрировано ни одного случая нападения куки на человека. Пишите туда данные необходимые для работы приложения. Обычно пароль или другую секретную информацию записывать туда не рекомендуется.

может кто-то пользуется какими-то лайфхаками)

Пред тем как писать бред — посвятите 2 минуты гуглению вопроса, хотя бы выглядеть совершенно глупо не будете, и вопрос хоть нормально сформулировать сможете. Не хочется как-то токсично прям отписываться, но такие вопросы вызывают болевые ощущения в глазах…

Комментировать

Ответы на вопрос 1



@DarkTM

Начать стоит с того, что все вами перечисленное к безопасности относится только косвенно.

А теперь по пунктам:
1. Полностью защищенных сайтов не бывает.
2. Основная защита сайтов, это защита от мамкиных хакеров и не более. Серьезные дяди без пункта 3, вас взломают 100% вероятностью, как бы вы не изворачивались.
3. Для серьезной защиты ресурса от взлома нужно: иметь внутреннюю или внешнюю программу пинтеста (т.е. своих хакеров, которые будут пытаться взломать и искать дыры), команду по сетевой безопасности, команду по общей безопасности. Без этого, профессионалы которым вы понадобитесь, ломанут вас с гарантией. Со всем перечисленным, фифти-фифти, зависит уже от уровня ваших спецов, и тех что сидят по ту сторону.
4. Даже если кто-то из местных спецов, иб ответит, в чем я сильно сомневаюсь, ответ вы получите ровно тот же, что вам уже дали выше, если не еще более нелецеприятный. Причина проста, вы тратите время людей.
5. Что бы даже в кратце расписать основные типа и основные методы противодействия, нужно потратить от 8 до 10 часов своего времени, вы его людям вряд ли оплатите.
6. Пункт 4 вам обеспечен по тому, что в интернете, если пользоваться гуглом все уже есть. И вы можете потратить сове время и не тратить чужое. И прийти сюда уже с конкретным вопросом, по конкретной теме. Вот вам для затравки так сказать, перечислены самые популярные типовые атаки:
https://bool.dev/blog/detail/common-and-not-common…
https://itsecforu.ru/2020/02/11/%F0%9F%92%89-9-%D0…

если мало по вышеприведенным ссылкам и хочется совсем заморочаться, то идем сюда https://owasp.org/ и наслаждаемся тысячами уязвимостей и способов которыми вас мог хакнуть, и что вы можете закупорить.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *