Hallo leden,
Ik heb een login systeem gemaakt , en ik ben benieuwd hoe veilig mijn systeem is?
Hoe kan ik weten of wat ik heb gemaakt veilig genoeg is?
Zou iemand misschien kunnen testen of mijn login systeem veilig is?
Graag hoor ik uw mening over
- Template parser
- Permission system
- Aanvullende optie's
Te doen lijst:
- Logs 
Belangrijke formulier post / get zendingen controleren en door zetten naar een log.
Groetjes,
Frenzo
Fout 1:
<b>Fatal error</b>: Call to undefined function red() in <b>/home/sh2014005/domains/frenzobrouwer.nl/public_html/index.php</b> on line <b>39</b>
Fout 2:
Notice: Undefined index: username in /home/sh2014005/domains/frenzobrouwer.nl/public_html/system/register.php on line 16
Verder nog wat kleine dingen, plaats een CSRF controle op je formulieren als je veilig wilt werken (aangezien je dit vraag).
@WebMobiel
CSRF is een welk bekende misbruik op formulieren, je kan requests uitvoeren vanuit een andere locatie en hiermee bijvoorbeeld bruteforce uitvoeren.
Wanneer je hier een controle op maakt is dit al een stuk veiliger, al raad ik je aan een logboek te maken voor foutieve login.
Als iemand 5x een verkeerd wachtwoord ingevoerd heeft bijvoorbeeld voor 15 minuten buiten alle formulieren houden, zo voorkom je verder misbruik.
En op deze manier heeft een bot bouwen geen zin aangezien je een CSRF controle hebt die niet zomaar dingen kan uitvoeren vanuit random IP adressen.
Nog een veiligheids issue, je geeft aan of een gebruiker wel of niet bestaat... Het wordt zo wel heel makkelijk om achter een admin gebruiker te komen en de sessie te verbouwen als je geen versleutelde sessies hebt...
@WebMobiel
Momenteel geef je blijkbaar een melding of de gebruikersnaam bestaat maar het wachtwoord fout is.
Je kan beter een neutraal antwoord geven "Gebruikersnaam & wachtwoord combinatie is incorrect", op die manier weten ze verder niks.
@WebMobiel
Door ze te laten weten dat de gebruikersnaam bestaat gaan ze zich alleen nog concentreren op het wachtwoord, zo maak je het ze makkelijker.
Door een neutraal antwoord te geven maken ze geen kans en hebben ze ook bar weinig informatie om verder onderzoek te doen.
Waneer ik inlog met demo / demo krijg ik deze error :
Invalid user/pass combination!
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42S22]: Column not found: 1054 Unknown column 'pagina' in 'field list'' in /home/sh2014005/domains/frenzobrouwer.nl/public_html/incl/functions.php:192 Stack trace: #0 /home/sh2014005/domains/frenzobrouwer.nl/public_html/incl/functions.php(192): PDOStatement->execute() #1 /home/sh2014005/domains/frenzobrouwer.nl/public_html/system/login.php(43): newLog('Login', 'Wrong password', 'demo') #2 /home/sh2014005/domains/frenzobrouwer.nl/public_html/incl/functions.php(176): include('/home/sh2014005...') #3 /home/sh2014005/domains/frenzobrouwer.nl/public_html/templates/1/index.php(34): pageSystem() #4 /home/sh2014005/domains/frenzobrouwer.nl/public_html/incl/functions.php(98): include('/home/sh2014005...') #5 /home/sh2014005/domains/frenzobrouwer.nl/public_html/index.php(44): websiteTemplate() #6 {main} thrown in /home/sh2014005/domains/frenzobrouwer.nl/public_html/incl/functions.php on line 192Nu krijg ik dit als ik inlog met demo / demo
Heb je nog geen account? Registreer je nu en word deel van onze community!