Domanda sito web vulnerabile

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
I

Iurim581

Utente Bronze
22 Giugno 2020
30
14
4
22
salve a tutti,
so che posso sembrare il solito bimbo che vuole fare il grande ma comunque sono ""agli inizi"".
ho un sito web scritto in HTML CSS e qualche script in js per il menù a tendina.
l'altro giorno mi ha contattato un ragazzo avvisandomi che c'erano delle vulnerabilità nel sito web (non ho messo nessuna protezione oltre al hosting in HTTPS) mi ha detto che ci sono delle vulnerabilità
Missing security header: X-XSS-Protection
X frame options
da quel che ho trovato su internet sono i tipi di attacchi più semplici da fare.
mi sono documentato e ho scoperto che ci sono dei plugin che possono aiutare a rendere più sicuro il sito web ma i video li faceva vedere solo su WordPress e direi anche no grazie.
potete consigliarmi fonti per approfondire l'argomento della cyber security in ambito web site?
come posso fare? immagino ci siano dei metodi per proteggerlo da riga di codice, con quale linguaggio di programmazione? python è fattibile?
lo so sono molte domande ma se sapreste rispondermi sarei più che felice.
grazie mille in anticipo.
buona giornata a tutti.
 
Ciao! Il problema non è che sono tante domande ma che ci vorrebbero tante righe per risponderti.

Cerco di farla breve...
... se vuoi mettere in sicurezza il tuo sito web devi cercare di approcciarti direttamente tu stesso al codice perché aggiungendo Plugin tipo Wordfence Security non fai altro che fornire altre fonti per possibili attacchi, oltre ad appesantire il sito, come tu stesso puoi vedere in Exploit Database.

Se hai un'azienda o comunque in generale gestisci dati privati di altre persone allora ti consiglio vivamente di cercare qualcuno di professionale che possa gestirti il sito, dobbiamo sradicare la cosa che per gestire un sito web basta WordPress.

Se invece non hai un sito aziendale, non hai la possibilità di ingaggiare qualcuno e neanche per formarti in una università/corso in generale per quanto riguarda la cyber security e vuoi approcciarti a questo mondo, sapendo che ti serviranno diversi anni per iniziare a capirci qualcosa, allora ti dico che puoi partire da Hacklog e Hacklog2 che sono due libri gratuiti e che ti danno una buona base generale.

Nel frattempo professionalizzati in html css e js e abbandona WordPress visto che non è altro che il parco giochi degli hacker.
Studia e approfondisci le strutture di rete, qua ti consiglio, ovviamente, la bibbia delle reti ovvero Reti Di Calcolatori E Internet.
Infine, avendo acquisito tutte queste competenze, avrai la possibilità di iniziare un percorso sulla cyber sicurezza.

Ps: Ovviamente è fortemente consigliato approfondire anche linguaggi di programmazione tipo C, C++, Java, Assembly...

Buon studio ;)
 
Iurim581 ha detto:
salve a tutti,
so che posso sembrare il solito bimbo che vuole fare il grande ma comunque sono ""agli inizi"".
ho un sito web scritto in HTML CSS e qualche script in js per il menù a tendina.
l'altro giorno mi ha contattato un ragazzo avvisandomi che c'erano delle vulnerabilità nel sito web (non ho messo nessuna protezione oltre al hosting in HTTPS) mi ha detto che ci sono delle vulnerabilità
Missing security header: X-XSS-Protection
X frame options
da quel che ho trovato su internet sono i tipi di attacchi più semplici da fare.
mi sono documentato e ho scoperto che ci sono dei plugin che possono aiutare a rendere più sicuro il sito web ma i video li faceva vedere solo su WordPress e direi anche no grazie.
potete consigliarmi fonti per approfondire l'argomento della cyber security in ambito web site?
come posso fare? immagino ci siano dei metodi per proteggerlo da riga di codice, con quale linguaggio di programmazione? python è fattibile?
lo so sono molte domande ma se sapreste rispondermi sarei più che felice.
grazie mille in anticipo.
buona giornata a tutti.
Clicca per espandere...

Missing security header: X-XSS-Protection
X-frame-options

Questi sono due header che si dovrebbero impostare all'interno della configurazione del server. Non sono vere e proprie vulnerabilità ma più delle "Best practices".

L'header X-frame-options permette di non inglobare il tuo sito all'interno di altri iframe esterni al tuo dominio. In genere viene fatto per fare attacchi di social engineering o di phishing, in cui la vittima crede di essere sul vero sito ma in verità è su un sito malevolo che mostra un contenuto diverso grazie a un iframe

X-XSS-Protection è un header che permette di bloccare parzialmente l'esezucione di Attacchi Cross Site Scripting (XSS ).

Per implementare entrambe le meccaniche di sicurezza dai un occhiata al sito ufficiale OWASP (punto di riferimento per la messa in sicurezza di dispositivi informatici)

Clickjacking Defense - OWASP Cheat Sheet Series

Website with the collection of all the cheat sheets of the project.
cheatsheetseries.owasp.org cheatsheetseries.owasp.org

Cross Site Scripting Prevention - OWASP Cheat Sheet Series

Website with the collection of all the cheat sheets of the project.
cheatsheetseries.owasp.org cheatsheetseries.owasp.org
 
Ultima modifica:
NoNameoN ha detto:
Ciao! Il problema non è che sono tante domande ma che ci vorrebbero tante righe per risponderti.

Cerco di farla breve...
... se vuoi mettere in sicurezza il tuo sito web devi cercare di approcciarti direttamente tu stesso al codice perché aggiungendo Plugin tipo Wordfence Security non fai altro che fornire altre fonti per possibili attacchi, oltre ad appesantire il sito, come tu stesso puoi vedere in Exploit Database.

Se hai un'azienda o comunque in generale gestisci dati privati di altre persone allora ti consiglio vivamente di cercare qualcuno di professionale che possa gestirti il sito, dobbiamo sradicare la cosa che per gestire un sito web basta WordPress.

Se invece non hai un sito aziendale, non hai la possibilità di ingaggiare qualcuno e neanche per formarti in una università/corso in generale per quanto riguarda la cyber security e vuoi approcciarti a questo mondo, sapendo che ti serviranno diversi anni per iniziare a capirci qualcosa, allora ti dico che puoi partire da Hacklog e Hacklog2 che sono due libri gratuiti e che ti danno una buona base generale.

Nel frattempo professionalizzati in html css e js e abbandona WordPress visto che non è altro che il parco giochi degli hacker.
Studia e approfondisci le strutture di rete, qua ti consiglio, ovviamente, la bibbia delle reti ovvero Reti Di Calcolatori E Internet.
Infine, avendo acquisito tutte queste competenze, avrai la possibilità di iniziare un percorso sulla cyber sicurezza.

Ps: Ovviamente è fortemente consigliato approfondire anche linguaggi di programmazione tipo C, C++, Java, Assembly...

Buon studio ;)
Clicca per espandere...
grazie per la risposta.
probabilmente mi sono espresso male, io non uso word Press ho solo detto che guardando su internet tutti usano word press per risolvere i problemi che avevo elencato, ma ripeto io non uso WordPress.
in secondo modo ho già letto entrambi i libri sull'hacklog e anche visto i video su YouTube (che non ho capito perché li hanno cancellati ).
ed infine volevo chiederle se in questo ambito rendere sicuro un sito è fattibile da riga di codice e se si, delle fonti su cui approfondire.
un esempio potrebbe essere degli script contro il Dos o DDoS ecc..
lo so sono molto generico ma sono completamente all'oscuro di tecniche sulla cyber security (apparte sql injection che se non ricordo male veniva spiegato nei libri del hacklog e anche sullo spoofing vari dei vari componenti del pc, mac, ip, dns ecc..)
grazie buona giornata
Messaggio unito automaticamente:

0xbro ha detto:
Missing security header: X-XSS-Protection
X-frame-options

Questi sono due header che si dovrebbero impostare all'interno della configurazione del server. Non sono vere e proprie vulnerabilità ma più delle "Best practices".

L'header X-frame-options permette di non inglobare il tuo sito all'interno di altri iframe esterni al tuo dominio. In genere viene fatto per fare attacchi di social engineering o di phishing, in cui la vittima crede di essere sul vero sito ma in verità è su un sito malevolo che mostra un contenuto diverso grazie a un iframe

X-XSS-Protection è un header che permette di bloccare parzialmente l'esezucione di Attacchi Cross Site Scripting (XSS ).

Per implementare entrambe le meccaniche di sicurezza dai un occhiata al sito ufficiale OWASP (punto di riferimento per la messa in sicurezza di dispositivi informatici)

Clickjacking Defense - OWASP Cheat Sheet Series

Website with the collection of all the cheat sheets of the project.
cheatsheetseries.owasp.org cheatsheetseries.owasp.org

Cross Site Scripting Prevention - OWASP Cheat Sheet Series

Website with the collection of all the cheat sheets of the project.
cheatsheetseries.owasp.org cheatsheetseries.owasp.org
Clicca per espandere...
grazie mille, ci ho già dato un occhiata e sembra davvero interessante
 
  • Mi piace
Reazioni: inforge-user001 e 0xbro
Per quanto riguarda Missing security header: X-XSS-Protection X-frame-options ti ha già risposto 0xbro.

Si, è possibile difendersi ma è una cosa decisamente complessa.

Per gli attacchi DoS puoi leggere qualcosa sui Firewall, come funzionano, come si applicano e cosa fanno.
Un'altra cosa secondo me importante è salvare periodicamente dei log di connessioni in modo da avere un minimo di tracciamento.
Poi potresti ad esempio limitare le connessioni tor e vpn, insomma, ci sono tremila cose che puoi fare per metterti in sicurezza ma cercare uno script non rende il tuo sito sicuro, servono capacità a riguardo e ti spiego perché...

Un attacco DoS si effettua mandando pacchetti ad un server su una determinata porta.
Se tu setti il Firewall solo sulla porta 80 e l'hacker lo scopre, allora gli basterà attaccarti un altra porta lasciata aperta e tutto il tuo sistema di sicurezza salta.
Avendo cercato lo script online, e quindi non avendolo prodotto, c'è il rischio che tu non sappia bene cosa fa e in quel caso, non sapendolo gestire, ti troveresti fregato e magari bastava chiudere le porte in eccesso o aggiungere le altre allo script stesso.

L'hacking è il frutto di un albero alimentato a bestemmie e passione cresciuto nel tempo, purtroppo non basta uno script per la cyber-security.

Un aspetto fondamentale per approcciarti alla sicurezza delle reti è conoscere perfettamente le reti stesse e per tanto ti ripropongo il libro sulle reti di cui ti parlavo all'inzio.

Se hai altre domande su specifici attacchi non esitare a chiedere, purtroppo analizzarli tutti in una sola risposta è per ovvi motivi folle, anche perché, dovendo generalizzare, molto probabilmente direi cose che già sai.
 
  • Mi piace
Reazioni: NessunoIP34, LinuxUser e Iurim581
Iurim581 ha detto:
salve a tutti,
so che posso sembrare il solito bimbo che vuole fare il grande ma comunque sono ""agli inizi"".
ho un sito web scritto in HTML CSS e qualche script in js per il menù a tendina.
l'altro giorno mi ha contattato un ragazzo avvisandomi che c'erano delle vulnerabilità nel sito web (non ho messo nessuna protezione oltre al hosting in HTTPS) mi ha detto che ci sono delle vulnerabilità
Missing security header: X-XSS-Protection
X frame options
da quel che ho trovato su internet sono i tipi di attacchi più semplici da fare.
mi sono documentato e ho scoperto che ci sono dei plugin che possono aiutare a rendere più sicuro il sito web ma i video li faceva vedere solo su WordPress e direi anche no grazie.
potete consigliarmi fonti per approfondire l'argomento della cyber security in ambito web site?
come posso fare? immagino ci siano dei metodi per proteggerlo da riga di codice, con quale linguaggio di programmazione? python è fattibile?
lo so sono molte domande ma se sapreste rispondermi sarei più che felice.
grazie mille in anticipo.
buona giornata a tutti.
Clicca per espandere...
Se usi Apache come web server ti consiglio l'installazione di un WAF come mod-security, ti permetterà di filtrare automaticamente richieste sospette tra cui i tentativi di attacco XSS, SQLi e di implementare regole personalizzate
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

N
Discussione Come ho capitalizzato il mio fallimento al bug bounty di Instagram
  • Chiuso
  • 0
  • 286
0
286
Sicurezza Informatica
Netcat
N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 387
3
387
Sicurezza Informatica
Netcat
N
Discussione Belgio: mossa azzardata, o decisione geniale? Mia opinione: un 50/50, spieghiamo come
  • Chiuso
  • 4
  • 392
4
392
Sicurezza Informatica
Netcat
0
Discussione Ufficiale I migliori canali YouTube per imparare e approfondire la Sicurezza Informatica
  • Release
  • In evidenza
  • 30
  • 12K
30
12K
Sicurezza Informatica
TheWorm91
M
Discussione Articolo Lockbit attacca l'italia
  • Chiuso
  • 0
  • 346
0
346
Sicurezza Informatica
MRPants
Top Bottom
Indietro