¿Cómo asegurar adecuadamente OO PHP CMS?

Question

¿Cómo asegurar adecuadamente OO PHP CMS?

#1 de Mark Davidson (2 votos)
#2 de tylerl (1 votos)

2

Tengo la aplicación OO PHP que sirve páginas y también procesa tarjetas de pago a través de la pasarela de pago RBS externa. También hay base de datos de informes. El problema es que cuando alguien explota este PHP, obtiene acceso a toda la información sobre todos los usuarios y también a otros informes, además de que puede modificar páginas a través de SQL. También hay admin, que está en una carpeta separada (admin /). Hay 100 sitios web que apuntan a la misma raíz de documentos y hay docenas de varios módulos con posibles errores. ¿Tienes algún método preferible para esto? Actualmente ejecuta Ubuntu 12. El CMS que hice yo mismo, está hecho de varios módulos, tanto para el frontend como para el backend.

Actualización: es una aplicación multi-tenant.

linux apache php mysql

pregunta Andrew Smith 22.06.2012 - 12:46

fuente

2 respuestas

2

Hay muchas cosas que puede hacer para garantizar que la seguridad de su aplicación PHP, ya sea OO, no haga tanta diferencia.

Puede comenzar ejecutando algunas herramientas automatizadas de auditoría de php para detectar los problemas realmente obvios, consulte here
También más información sobre ataques de seguridad en aplicaciones web php
Básicamente, al menos desea probar y protegerse contra los los 10 principales riesgos de seguridad de aplicaciones , pero esto es solo un comienzo
Asegurar la aplicación es solo el primer paso que necesita para asegurarse de que su servidor y todas las demás partes de su sistema estén seguros.

respondido por el Mark Davidson 22.06.2012 - 16:25

fuente

Lea otras preguntas en las etiquetas linux apache php mysql

¿Cómo usar el 'material clave' para que varias personas puedan acceder a los archivos protegidos? ¿Los enlaces a las imágenes contenidas en los correos electrónicos deben ser seguros?

score 1 · Accepted Answer

Si está utilizando una aplicación de terceros, entonces está a su merced de la seguridad. Si no siguieron las prácticas de seguridad adecuadas al escribir su código (y aún así la mayoría de los desarrolladores de PHP no lo hacen), es probable que su aplicación sea explotable. En ese momento, lo único que puedes hacer realmente es el control de daños.

Si te encuentras en esa situación, entonces lo que quieres es aislamiento. Intente dividir su aplicación o su sitio o su flujo de trabajo o su servidor en zonas protegibles por separado. Cada uno tiene sus propias credenciales de servidor y su propio conjunto de permisos, y la comunicación entre ellos solo ocurre de acuerdo con algún protocolo bien definido y restringido en lugar de simplemente compartir recursos. De esta manera, si ocurre una brecha en un área, no se puede aprovechar para obtener algo valioso.