هدف این مقاله فقط آموزشی ست و تمامی تست ها از طریق وب سایت هایی در این مقاله آمده انجام شده است: https://geekflare.com/online-scan-website-security-vulnerabilities/
این لیست و تست ها ساده ترین و ابتدایی ترین تست های امنیتیست که باید خود سیبچه یا هر سایتی که سرویس ارائه میدهد انجام دهد.
بعد از دوره هک شدن سایت های زیادی در ایران و خوب سیب اپ! توجیحات عجیبی شنیدیم از اینکه دلیل این هک شدن ها تنظیمات فایروال بوده! و یا چیز مهمی نیست دیتایی لو نرفته که ۵ میلیون اطلاعات کاربران شامل شماره تلفن و برخی هم نام و نام خانوادگی. پس تصیمیم گرفتم یه تست امنیت خیلی ساده بزنم روی استور سیبچه ببینم اونا هم همینطورین؟ یعنی احتمال هک شدن سیبچه هم هست؟ و آیا استارتاپ ها می تونن به این استور اعتماد کنند و کاربراشون رو بفرستن سمتش؟
1 - تست پورت های ssh:
'SSH' port open
The 'SSH' service is running and exposed to the internet. The configuration of the server should be reviewed and unnecessary ports closed.
۲ -تست هدر امنیتی و مشکلات آن:
Missing security header for ClickJacking Protection. Alternatively, you can use Content-Security-Policy: frame-ancestors 'none'.
Missing security header to prevent Content Type sniffing.
Missing Strict-Transport-Security security header.
Missing Content-Security-Policy directive. We recommend to add the following CSP directives (you can use default-src if all values are the same): script-src, object-src, base-uri, frame-src
Default server banners displayed. Your site is displaying your web server default banners.
۳- تست فایروال ( این سایت فایروال نداره )
۴- اطلاعات پابلیک سایت شامل روبات و سایت مپ:
در سایت مپ چیز عجیبی دیده میشه با استفاده از سایت مپ می توان فولدر بندی سرور رو دید:
کافیه فایل روبات سایت را بررسی کنین که درنهایت به sitemap میرسید:
https://sitemaps.sibche.com/sitemap/applications-246.xml
https:// files.sibche.com/sibche/Application/000/329/524/329524/logo/original/
درنهایت این تست ها بسیار ساده بودند و زمانی که یک سایت به راحتی می تواند با ساده ترین اسکنر های اینترنتی و رسمی مشکلات امنیتی خود را برطرف کند! چرا این کار را نمی کند؟ شاید پاسخ را قبلا سیب اپ داده که اطلاعات مهمی نیست! شماره موبایله.
امیدوارم این مقاله باعث بشود سیبچه کمی روی امنیت سایتش کار کند و استور های دیگر نیز همین مسیر را پیش بگیرند.