Czytając informacje na temat wstrzykiwania SQL, zastanawiam się, jak bezpiecznie tworzyć aplikacje w Laravel i jak testować, czy twoje bezpieczeństwo spełnia dzisiejsze standardy?Jak bezpieczny jest system operacyjny 5.1?
Odpowiedz
Opracowałem kilka aplikacji Laravel i znalazłem je całkiem bezpieczne w moich oczach.
Przeprowadziłem różne testy penetracyjne, skaner OWASP ZAP, sqlsus i 5+ narzędzi, w tym bbqsql i podobne rzeczy do testów pisaków DB, nmap do skanowania portów, a następnie przełączono ZAP na tryb ataku, aby wykonać różne XSS i CSRF i znaleziono brak luk w zabezpieczeniach samej Laravel - tylko kilka rzeczy z samego serwera, które naprawiłem.
Ważne jest, aby powiedzieć, że żadna aplikacja nie jest w 100% bezpieczna, ponieważ zależy to w dużej mierze od sposobu jej wykonywania.
Jednak laravel ma zrobić bardzo dobrą pracę po wyjęciu z pudełka, chroniąc cię od: zastrzyk
SQL: jeśli używasz Eloquent odpytuje te można zachować bezpieczny. Ale będziesz podatny na ataki, jeśli użyjesz zapytań o numer
DB::raw()
, ponieważ mogą one otworzyć cię do zastrzyku.CSRF: laravel dba o to z CSRF tokeny, że sprawdza się na każde żądanie
POST
więc upewnij się ich używać, to w istocie chroni przed kimś zmiany charakteru wniosku, tj odPOST
doGET
.XSS: Najpierw odkaż dane wejściowe użytkownika. Zmienne nie są unikane przy użyciu składni ostrzy
{!! !!}
, która w kodzie HTML odpowiada<?= e($foo) ?>
, natomiast dane{{ }}
.
Jest to dość krótkiprzegląd bezpieczeństwa laravel. Gdy zaczniesz się otwierać, przesyłając pliki itp., Może to być trochę trudniejsze, dodatkowo robiąc niebezpieczne rzeczy w PHP.
Ten artykuł here, może być interesującą lekturą, aby przejść nieco głębiej z powyższym.
W krótkim, Znalazłem laravel być bezpieczny od wszelkich ataków, jakie kiedykolwiek prowadzonych za pomocą wymownych i odkażania wejście gdzie wymagane wraz z prawidłowym wykorzystaniem składni łopatki i CSRF
tokena.
- 1. Jak wykrywać działający system operacyjny?
- 2. Wykryj system operacyjny
- 3. System operacyjny z piaskownicą
- 4. Jaki jest najprostszy dostępny system operacyjny?
- 5. Zaktualizuj system operacyjny Android programowo
- 6. .emacs kod identyfikujący system operacyjny?
- 7. Jak dokładnie system operacyjny chroni jądro
- 8. Jak wykryć system operacyjny Windows w ANT
- 9. Jak wykryć system operacyjny z aplikacji silverlight?
- 10. Jak stworzyć wyjątkowo prosty system operacyjny?
- 11. Jak aplikacja może zamrozić system operacyjny Android?
- 12. Wykryj system operacyjny w Clojure
- 13. Jak wykryć aktualny system operacyjny z Gradle
- 14. Jak uzyskać nazwę dysku, na którym jest zainstalowany system operacyjny?
- 15. Najlepszy system operacyjny dla rozwoju java?
- 16. Identyfikacja Jeśli system operacyjny jest (otwarty) SUSE w języku Python?
- 17. Wykryj system operacyjny z rozszerzenia przeglądarki Firefox
- 18. jaki system operacyjny obsługuje samsung smart TV?
- 19. W jaki sposób BIOS jest używany przez nowoczesny system operacyjny?
- 20. Pobierz bieżący system operacyjny Adobe AIR
- 21. Jak określić system operacyjny hosta podczas kompilacji krzyżowej z CMake?
- 22. Jak sprawdzić, czy system operacyjny to Vista w języku Python?
- 23. Apache: jak ukryć wersję serwera i system operacyjny przed użytkownikami?
- 24. Jak poznać aktualny system operacyjny/platformę kodu wykonawczego (Android/iOS)?
- 25. Jak ustalić, czy system operacyjny to POSIX w C?
- 26. Czy bezpieczny system statyczny w systemie Android?
- 27. Jak długo bezpieczny, bezpieczny kanał TCP jest bezpieczny?
- 28. Datastax - czy system zabezpieczania wątków PreparedStatement jest bezpieczny?
- 29. Plik wsadowy: Sprawdź, czy system operacyjny to Windows 10
- 30. Czy można napisać system operacyjny na telefon komórkowy?
Czy możesz opracować na "tylko kilka rzeczy z ... poprawione." – davejal
To były rzeczy do zrobienia z moją instalacją apache i konfiguracją serwera. Naprawiłem to, aktualizując apache i zmieniając niektóre ustawienia serwera. Były to drobne rzeczy i nadal trudne do wykorzystania, ale lepsze niż smutek. – James
Czy jesteś pewien {@}? !!} rzecz? – jartaud