[Johnny Viking]

Tjena!

Jag har byggt ett bokningssystem för företag som bokar massage, träning, whatever nästan. Och i slutändan kommer där ju ligga personuppgifter som ska vara så säkra som möjligt.

Finns det självtester man kan göra, eller har ni tips på företag som sysslar med tester och som tar en skälig summa för att göra ett test av säkerheten? Allt från injections, till serverhack i sig.

Hur gör ni annars runt att testa sin egen produkts säkerhet?

btw, om någon vill testa lite så delar jag gärna ut adressen via PM.

[danjel]

Tycker code reviews av tredje part är bäst angreppssätt. Det är lättare att se vilka typer av attacker som är möjliga då.

Brukar annars tänka som så vad gäller säkerhet, att om en hacker får tag på din källkod och analyserar den , kan han då göra nåt "elakt" , utifrån vad du själv kan om säkerhetsaspekterna?

Annars är väl det lämpligt att göra självtester vad gäller CSRF , XSS, sql injection, integer overflows, fil uppladdning ... då kommer man hyfsat långt

[Johnny Viking]

Jag litar inte fullt ut på att jag kodat 100% tätt, så istället för att då släppa koden och potentiellt ovetandes om läckor som kan beröra många kunder? Nej tack...

På "public" sidan av bokningen där vanliga kunder är så kör jag allt med "guid"-ID:s för att avsevärt reducera risken att någon gissar sig fram hur man kan få fram annan content m.m. CSRF är på, och injections är gravt begränsat.

Systemet är byggt i Laravel 4 förresten

[danjel]

Jaha ok, då brukar det ju vara "inbyggd" säkerhet om man kör framework korrekt.
Ja alltså menar inte du ska behöva släppa kod utan köra en review, kanske då på plats hos er, på delar av koden, för att se att rätt principer följs.