1. Përshëndetje dhe mirësevini në forumin e Itshqip.com
    Nëse akoma nuk jeni pjesë e IT komunitetit më të madhë Shqiptarë nga fusha e Teknologjisë Informative, ju ftojmë që të bëheni pjesë e këtij komuniteti që tani duke u regjistruar këtu - procedura është shumë e thjeshtë dhe e lehtë. Gjithashtu ju mund të regjistroheni edhe përmes rrjetit social Facebook, Twitter, Google+.

Pyetje rreth security testing

Tema tek 'Siguria në Ueb' e hapur nga Taboo, 1 Korrik 2018.

  1. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
    Pershendetje,

    Jom tu e bo ni aplikacion, te cilin po e mendoj me e publiku se shpejti. Por deshta me dit a muni mem tregu najkush qysh me e bo security testing?
    Per arsye qe me kqyr mos ka naj sen kritike para se me e publiku. Gjithashtu e kuptoj qe jon role te caktuara per ata qe bojn security testing edhe nuk o qaq leht besoj, por tpaken disa gjera ma bazike qe muj me i bo vet pa ndihmen e nje profesionalisti.

    Faleminderit.
     
  2. zyberallulli

    zyberallulli Anëtar

    Postimet:
    15
    Pëlqimet:
    9
    Pikë nga trofetë:
    3
    Pershendetje!

    App po e punon Hybrid apo Native?
     
  3. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
    Pershendetje, e kom pas fjalen per web applikacion, me vjen keq per keqkuptimin.
     
  4. DardanDaci

    DardanDaci Anëtar Aktiv

    Postimet:
    420
    Pëlqimet:
    218
    Pikë nga trofetë:
    53
    Taboo pëlqen postimin.
  5. zyberallulli

    zyberallulli Anëtar

    Postimet:
    15
    Pëlqimet:
    9
    Pikë nga trofetë:
    3
    Cfare teknologjie e ke ndertuar web app dhe cfare CMS ke perdorur(nqse ke perdorur CMS), ose cfare framework ke perdorur. Nqse ke perdorur CMS kerko per Vulenrabilities te framework qe ke perdor, ne varesi te version qe ke. E njejta gje vlen edhe per framework dhe gjuhen e programimin. SI fillim kerko per vulenrabilities qe nuk varen komplet nga menyra se si ke punuar ne web. Pastaj nqse ke programuar shiko per gjerat bazike si Sql Injection, XSS etj. Gjithashtu shiko per directory listing(do te thote qe perdoruesi mund te navigoje brenda projektit edhe neper foldera ku ka file konfigurimi). Directory listing mund ta shmangesh nepermjet .htaccess.

    Nqse perdor wordpress https://github.com/wpscanteam/wpscan te rekomandoj kete app. Eshte shume i mire, skanon cdo plugin dhe eshte gjithe kohes ne mirembajtje.

    E fundit por jo per nga rendesia duhet te shikosh security te serverit ku e ke hostuar. Mund te perdoresh Nmap per te skanuar serverin dhe per te marre informacion per portat e hapura dhe programet qe behen run ne keto porta. Duke ditur portat qe jane hap dhe programet mund te kerkosh per Vulnerabilities te ketyre programeve dhe te shikosh nqse kane pika te dobeta dhe ti besh update.

    Gjithashtu kujdes nga SlowLoris, eshte nje "bug" logjik i TCP/IP qe perdoret shume nga keqdashesit per te bere DoS.
     
    Gjer.g, Blerton, BlackEagle dhe 1 anëtarë tjetër pëlqejnë postimin.
  6. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
  7. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
    Faleminderit shume, tani do filloj ti shikoj. Perndryshe web applikacionin e kam bene me ASP.NET Core.
     
  8. bi0

    bi0 Anëtar Aktiv

    Postimet:
    363
    Pëlqimet:
    253
    Pikë nga trofetë:
    73
    Prsh , kjo kryhet nga ndojnje individ apo kompani qe jan ne Cyber Security / Security Professionals , dhe ta krijojn nje raport i cili duket si ky diqka :
    Code:
    https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf
    po kto kushtojn te gjitha se se ben askush for free nese ski njohuri beje me ndoj tool qe osht i automatizuar ti gjen bug's fillestare .Po sidoqoft dergo te une ne PM login edhe web ja hedh nje sy e per me shum folim tutje :)
     
    Taboo dhe zyberallulli pëlqejnë postimin.
  9. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
    Pershendetje,

    Faleminderit shume. Ne momentin qe do perfundohet do ta hostoj diku dhe do te tregoj, pastaj flasim me shume.
     
  10. zyberallulli

    zyberallulli Anëtar

    Postimet:
    15
    Pëlqimet:
    9
    Pikë nga trofetë:
    3
    Mund te perdoresh edhe Nessus. Eshte tool shume i mire i automatizuar me te cilen mund te skanosh WebApps, server, mobile apps etc.
     
    Taboo pëlqen postimin.
  11. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
    Faleminderit shume. Do e shikoj edhe kete.
     
  12. entor

    entor Anëtar Aktiv

    Postimet:
    228
    Pëlqimet:
    29
    Pikë nga trofetë:
    28
    Pershendetje,

    Pike se pari sigurohu qe i gjithe outputi qe i shfaqet perdoruesit e qe permban variabla nga backend me qene escaped. Sigurohu qe nuk ke perdor raw input kur ke bo sql queries, pra me bo sanitize (prepared statements).

    Nese je tu e bo deploy ne sever dhe jo ne shared hosting, sigurohu qe me setup firewall, me i mbyll t'gjitha portet pervec atyne qe jane te domosdoshme (ssh, http, https), disable password login (login vetem me ssh keys), disable root user, perdor permissions te sakta per directory kritike, perdor passworda kompleks. Ndrroj portet default per serviset qe i perdor (ssh, mysql etj).

    Gjithashtu te kisha sygjeru me instalu vetem komponenta qe jane te domosdoshme. Per me ofru nje shkalle ma te larte sigurie prej DDoS mundesh me perdor CloudFlare.

    Kto jon disa prej gjerave qe un i kom n'men kur boj deploy ne production.
     
    Taboo dhe enneaa pëlqejnë postimin.
  13. Taboo

    Taboo Anëtar Aktiv

    Postimet:
    343
    Pëlqimet:
    82
    Pikë nga trofetë:
    28
    Ne rregull, shume faleminderit per pergjigjen.
     

Shpërndaje faqen

Loading...