On mercoledì 25 febbraio 2009 13:00:53 gianfranco not wrote: > ciao, qualcuno conosce delle tecniche avanzate per proteggere OS commerce?
Essendo una webapp, vedi le solite tecniche: mod-security, se è il caso, WAF (oddio l'ho scritto veramente..) un HIDS per il controllo di integrità e compagnia bella. > Si tratta di un sistema per il commercio elettronico basato su PHP+MySQL. > Anni fa, ne ho installato uno. Ma non c'è stata manutenzione. A me l'ultima release risulta a metà 2007 grossomodo.Parli di quella? > Qualcuno,un annetto fa > è entrato è ha lasciato un pagina in una directory, e sono riusciti a > eliminare una tabella, quella degli utenti amministratori, dal sistema. Ergo l'installazione è da rifare, ed in un eccesso di sicurezza rifarei anche la macchina. O hai già verificato l'integrità di TUTTI i file per eventuali backdoor PHP? Per inciso, se sono entrati con ogni probabilità la vulnerabilità è applicativa: puoi ricorrere al virtual patching (cosa che a me non piace) o aggiornare l'applicativo - ci sono diverse SQL injection pubbliche, ad una prima ricerca. -- Claudio
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
