Друже, проверяю приложение на пхп на безопасность.
подскажите что мог забыть проверено- sql инъекции, настройки движка php, информация в сессиях и куккисах, проверка передаваемых данных.
Приложение файлов не загружает, пароли в базе шифруются.
Что еще посмотреть?

восстановление и смена пароля одно из самых слабых мест.

Добрый день.
Смена пароля самая простая минимум действий от пользователя.


обработка вводимых данных: любые передаваемые данные проходят 2 этапа обработки

1) проверка на существование всех и лишних переменных
2) индетефикация типа переменной
3) проверка по типу+ sql инъекции

при прочтении о xss задумался о проверке сессии авторизированных пользователей, их нужно проверять? или этим заниматеся движок php сам?

csrf и xss да стоит подумать

пароли обычно хешируются (ф-цией crypt или password_hash с php 5.5), а у вас что за шифрование?
Если не путаю двойной md5 + соль

xss срабатывает у атакуемого пользователя в браузере
но его умудрится добавить нужно,а в приложении форма авторизации и пара списков

md5 понятно что не соотвествует вот тольок кто его если он двойно и с солью расшифрровать сможет


а что по сессиям и куккисам их нужно подвергать проверке?

dolux
А качество пароля проверил? Я даже не знаю как можно сюда в эту маленькую тему впихнуть весь сайт owasp.org Пройдись по нему, в википедию загляни, в habrahabr тоже темы были об уязвимостях разного плана, обнови всё до последних версий, пробегись по онлайн-тестам, проверяющим как открытые порты, так и другие возможные ошибки настройки сервера. Удали все лишние файлы, закрой информацию о сервере из ответов... долго всё перечислять

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

echo $_GET['some'];