Project

Profile

Help

HostedRedmine.com has moved to the Planio platform. All logins and passwords remained the same. All users will be able to login and use Redmine just as before. *Read more...*

Task #819191

open

Провести анализ уязвимостей

Added by Олег Седухин over 3 years ago. Updated over 3 years ago.

Status:
Approved
Priority:
Normal
Assignee:
-
Start date:
Due date:
% Done:

100%

Estimated time:

Description

Пункт ТЗ, описывающий информационную безопасность приложения.


Анализ и устранение уязвимостей проводится в ходе разработки приложения.

Actions #1

Updated by Олег Седухин over 3 years ago

https://habr.com/ru/post/225645/
"Внезапно появились и вторые грабли. На следующее же утро приложение взломали простейшей XSS атакой. О том, что пользовательским данным нельзя доверять, я тогда попросту не знал. Школьник подставил скрипт вместо своего имени в списке «Топ 100», в результате чего матерные алерты не давали игрокам ничего сделать. В процессе заделывания дыр я познакомился со многими видами ухищрений, на которые способны малолетние хакеры-робингуды, которые после того, как напакостили, писали в личку, что это мне за то, что я украл игру. Я заделывал дыры по мере их проявления. Были и SQL инъекции и CSRF уязвимости. Один раз мне снесли всю базу данных. Кто-то даже пытался положить сервер генерируемыми картинками, подавая на вход файлу-генератору случайную строку 10 раз в секунду. Теперь, набив шишек, я использую токен и сессии для каждого пользователя, передаю все данные POST запросом, прикрепляя хэш от всех передаваемых данных, который проверяется на сервере. С тех пор ничего страшного, к счастью, больше не происходило."

TODO назначить задачу аналитику, прописать необходимые пункты в ТЗ

Actions #2

Updated by Олег Седухин over 3 years ago

  • Subject changed from Не забыть о защите (анализ уязвимостей) to Провести анализ уязвимостей)
Actions #3

Updated by Олег Седухин over 3 years ago

  • Subject changed from Провести анализ уязвимостей) to Провести анализ уязвимостей
Actions #4

Updated by Олег Седухин over 3 years ago

  • Description updated (diff)
  • Status changed from New to Approved
Actions #5

Updated by Олег Седухин over 3 years ago

  • Description updated (diff)
Actions #6

Updated by Олег Седухин over 3 years ago

  • % Done changed from 0 to 100

Also available in: Atom PDF