Test Sicurezza Codice

[sestuworld]

Buonasera a tutti.
Da qualche giorno sto cercando di implementare la sicurezza dei mie codici php su un sito creato su Altervista.

Una volta finito, vorrei anche testare la "sicurezza" e verificare eventuali problemi e vulnerabilità del sito utilizzando io stesso sistemi sistemi di hacking sul mio sito e cercando in tutti modi di scoprire se ci sono problemi.

Mi chiedevo se ci siano problemi o qualche regola che mi impedisce di fare ciò PRIMA di procedere.

Chiaramente io testerò e hackerizzerò IL DOMINIO che mi avete rilasciato, non altri, è una sorta di AUTO-Hackerizzazzione al fine di testare la sicurezza.

Ringrazio anticipatamente per ogni eventuale risposta!

Mi sono accorto che probabilmente ho sbagliato sezione, avevo letto Php e credevo fosse la sezione giusta. Scusate.

[alemoppo]

Il tuo sito è ospitato in un server che ospita altri siti. Un eventuale attacco al server può compromettere il corretto funzionamento dello stesso e quindi anche di altri siti ospitati.

Se hai dei dubbi riguardo a qualche criticità puoi richiederlo, ma non potrai fare cose considerate illegali.

Attaccare il proprio sito è come fare una rapina nella propria banca per testarne il livello di sicurezza [cit].

Ciao!

[sestuworld]

L'idea era per lo più attaccare una tabella dentro il mio database per prendere dei dati (a cui ovviamente ho accesso), non attaccare a destra e a manca sul server ;)

Comunque perfetto, mi limiterò a potenziare il codice e basta :)

[mzanella]

Una cosa che puoi fare tranquillamente è creare un ambiente di test che rifletta il tuo spazio web in locale, ovvero su una macchina (magari virtuale) di tua proprietà, ed effettuare su di esso tutti i test, anche di hacking, che desideri.
Un test di questo tipo sarà tanto più attendibile quanto più simile è l'ambiente di sviluppo rispetto a quello di distribuzione.

Attaccare il proprio sito è come fare una rapina nella propria banca per testarne il livello di sicurezza [cit].

Sicuramente questo vale per un ambiente che è già in produzione, ma secondo me vale anche la pena di considerare che:

Simulare un attacco verso il proprio sito [in sviluppo] è come una prova antincendio: se ci sono problemi è meglio scoprirlo prima che vada tutto a fuoco...

I White Hats fanno proprio questo (e talvolta sono anche pagati per farlo).

Edit: Nel caso in cui decidessi di procedere con dei test in locale, ti consiglio di cominciare con un Protocol Fuzzing, ed in generale dare un'occhiata alle pagine dell'Open Web Application Security Project.

[alemoppo]

Simulare un attacco verso il proprio sito [in sviluppo] è come una prova antincendio: se ci sono problemi è meglio scoprirlo prima che vada tutto a fuoco...

Certo, però non in ambito di server condiviso dove sono ospitati anche altri server. E comunque attacchi illegali tipo ddos sono e rimangono illeciti.
Testare la robustezza contro sql injection non penso sia una cosa così grave, tanté che non se ne accorgerebbe nessuno.
Quindi dipende di cosa stiamo parlando.

Ciao!

[sestuworld]

Certo, però non in ambito di server condiviso dove sono ospitati anche altri server. E comunque attacchi illegali tipo ddos sono e rimangono illeciti.
Testare la robustezza contro sql injection non penso sia una cosa così grave, tanté che non se ne accorgerebbe nessuno.
Quindi dipende di cosa stiamo parlando.

Ciao!

Si esatto! Mi sono spiegato male.
Sto sviluppando e imparando (purtroppo non sono molto esperto) come implementare contromisure per msql injection, e appunto volevo sapere se ci sono problemi se faccio dei test appunto tentando l'injection.