[SimonP]

Citat:

Ursprungligen postat av Osueco

Någon som har tips på litteratur hur man undviker att gå i ovan nämnda fällor?

Det finns väldigt mkt litteratur rent allmänt om webbsäkerhet:
http://www.amazon.com/s/ref=nb_sb_no...curity&x=0&y=0

Men sen bör man även fördjupa sig i just det språk man använder, t.ex:

PHP:
http://www.amazon.com/s/ref=nb_sb_no...curity&x=0&y=0

ASP:
http://www.amazon.com/s/ref=nb_sb_no...curity&x=0&y=0

Det finns nog ingen bok som täcker allt, och man bör även tänka på att böcker ger de kunskaper som var aktuella när boken skrevs, dessa kunskaper är iofs viktiga men man bör komplettera genom att läsa de senaste som skrivs på it-säkerhetsinriktade hemsidor och mailutskick.

[Danielos]

Citat:

Ursprungligen postat av Clarence

Ett problem är väl att webbhotell återkommande har fått anstormningar av funktioner i färdig programvara som inte fungerar med mod_security. T ex swfupload, ajax-funktioner i WP-admin osv. Funktionerna i sig är ibland tveksamt skrivna, men ofta helt säkra i sig vilket gör att många rekommenderas att stänga av någon/alla regler för en fil eller katalog. Att felsöka sådant åt användare kan jag inte tänka mig är vidare roligt.

Håller med, det är därför man bör ha ett system där varje konto kan ändra mod_security inställningar

Citat:

Ursprungligen postat av Clarence

Vidare finns det väl gott om sårbarheter som blockerats i mod security först efter ett stort utbrott av hackade sajter och ofta för de största OS-mjukvarorna patchas dessa i mjukvaran innan mod_security reglerna är uppdaterade.

Så är det, de flesta glömmer bort att patcha kernel med grsecurity och kompilera den.

Citat:

Ursprungligen postat av Clarence

Att skärma av konton i shared hosting är ju så klart nyttigt. Men det hjälper ju inte TS i att undvika att bli hackad så länge han inte kan ge instruktioner åt sitt webbhotell.

Det är sant, det bästa och enklaste är att hitta ett webbhotell som kan tillhandahålla ovan samt som kan ta emot instruktioner.