<![CDATA[Latest posts for the topic "Nhờ kiểm tra website http://tinhockg.com"]]>

<![CDATA[Latest posts for the topic "Nhờ kiểm tra website http://tinhockg.com"]]> /hvaonline/posts/list/6.html JForum - http://www.jforum.net Nhờ kiểm tra website http://tinhockg.com /hvaonline/posts/list/11541.html#66672 /hvaonline/posts/list/11541.html#66672 GMT Re: Nhờ kiểm tra website http://tinhockg.com /hvaonline/posts/list/11541.html#67477 /hvaonline/posts/list/11541.html#67477 GMT Re: Nhờ kiểm tra website http://tinhockg.com 1. Mặt trình bày: - truy cập site này đôi khi rất khó khăn. Thỉnh thoảng bị HTTP 403 (denied) mặc dù chỉ duyệt bình thường - không biết lý do tại sao. - site trình bày trang nhã, hợp lý. Cấu trúc gọn gàng, logic. Code cẩn thận và sạch sẽ. Nhiều site lớn ở VN vẫn chưa đạt được điểm này. 2. Mặt bảo mật: - Site được host trên một server khá bảo mật, chạy Windows và các dịch vụ nguy hiểm được filtered cẩn thận. - Nên quan tâm cập nhật các bản vá cho pop3, smtp và ftp. - Web service dùng apache 2.2.0, bản này bị một số lỗi khá nặng và lỗi trực tiếp bạn đang dùng đó là chức năng rewrite. Nếu kẻ thâm nhập xác định được rewrite pattern bạn dùng, họ có thể tạo shellcode để thâm nhập server. Nên đề nghị nhà cung cấp cập nhật lên apache 2.2.4 càng sớm càng tốt. - URI trên trang web được filter các dạng TAG chèn vào chặt chẽ (cho cả ASCII và URLEncoded) nên các dạng chèn TAG đều bị vô tác dụng. Well done. - URI trên trang web được paremeterize như thế sẽ vô hiệu hóa các công cụ tìm lỗi tự động hóa. Well done. - Tôi chưa thử manipulate trong POST payload nên chưa biết kết quả thế nào. Tuy nhiên GET thì gần như là an toàn. - Phiên bản PHP bạn dùng quá cũ và có rất nhiều lỗi nghiêm trọng (từ cross site scripting lên tới buffer over flow đều bị). Nên cập nhật tối thiểu lên bản 5.2.1. - Bạn cho phép upload (file đính kèm) trên một trang và có moderate nội dung trước khi cho phép hiển thị. Đây là điều tốt. Tuy nhiên nên cẩn thận vì nếu "lỡ quên" thì nó có thể làm điểm khởi đầu để exploit. Trang này nên kèm theo captchar để tránh dạng automated spam. - không nên để bản "manual" của apache trên PRODUCTION server. Nên bỏ nó đi vì nó giúp xác định foot print dễ dàng. Thân mến.]]> /hvaonline/posts/list/11541.html#67498 /hvaonline/posts/list/11541.html#67498 GMT Nhờ kiểm tra website http://tinhockg.com /hvaonline/posts/list/11541.html#67543 /hvaonline/posts/list/11541.html#67543 GMT Nhờ kiểm tra website http://tinhockg.com /hvaonline/posts/list/11541.html#68200 /hvaonline/posts/list/11541.html#68200 GMT