¿Cómo asegurar adecuadamente OO PHP CMS?

2

Tengo la aplicación OO PHP que sirve páginas y también procesa tarjetas de pago a través de la pasarela de pago RBS externa. También hay base de datos de informes. El problema es que cuando alguien explota este PHP, obtiene acceso a toda la información sobre todos los usuarios y también a otros informes, además de que puede modificar páginas a través de SQL. También hay admin, que está en una carpeta separada (admin /). Hay 100 sitios web que apuntan a la misma raíz de documentos y hay docenas de varios módulos con posibles errores. ¿Tienes algún método preferible para esto? Actualmente ejecuta Ubuntu 12. El CMS que hice yo mismo, está hecho de varios módulos, tanto para el frontend como para el backend.

Actualización: es una aplicación multi-tenant.

    
pregunta Andrew Smith 22.06.2012 - 12:46
fuente

2 respuestas

1

Si está utilizando una aplicación de terceros, entonces está a su merced de la seguridad. Si no siguieron las prácticas de seguridad adecuadas al escribir su código (y aún así la mayoría de los desarrolladores de PHP no lo hacen), es probable que su aplicación sea explotable. En ese momento, lo único que puedes hacer realmente es el control de daños.

Si te encuentras en esa situación, entonces lo que quieres es aislamiento. Intente dividir su aplicación o su sitio o su flujo de trabajo o su servidor en zonas protegibles por separado. Cada uno tiene sus propias credenciales de servidor y su propio conjunto de permisos, y la comunicación entre ellos solo ocurre de acuerdo con algún protocolo bien definido y restringido en lugar de simplemente compartir recursos. De esta manera, si ocurre una brecha en un área, no se puede aprovechar para obtener algo valioso.

    
respondido por el tylerl 24.06.2012 - 08:49
fuente
2

Hay muchas cosas que puede hacer para garantizar que la seguridad de su aplicación PHP, ya sea OO, no haga tanta diferencia.

respondido por el Mark Davidson 22.06.2012 - 16:25
fuente

Lea otras preguntas en las etiquetas