من یک وب سایت دارای صفحه استاتیک دارم که می خواهم آنرا متفرقه کنم. منظور من از این امر این است که سایت دیتابیس ندارد و هیچ زمینه ای برای ارسال ورودی کاربر به جز سرویس پرداخت شخص ثالث که به طور کامل توسط آنها مدیریت می شود ندارد.

من قبلاً برنامه وب را انجام داده ام. و آسیب پذیری هایی مانند XSS ، CSRF ، IDOR و DoS را پیدا کرد. با این حال ، این برنامه های وب بودند که محتوای آن به صفحه بازتاب می یابد ، و کاربر "وارد سیستم شده است".

از بالای سر من ، می توانم فکر کنم:

1. / پنلهای مدیریتی صحیح محافظت شده
2. راهنمای گذرا فهرست
3. اعتبارنامه های ضعیف سرپرست در حساب های میزبان / کنترل های مدیریت

گذشته از این موارد ، من با مشکل مواجه می شوم و آسیب پذیری های دیگر را برای جستجوی سایت استاتیک درج می کنم. ورودی کاربر جمع آوری و یا منعکس نشده است ، مفهومی از "حساب" و غیره وجود ندارد. [سایت از PHP 7 در Apache استفاده می کند ، اما این سایت در مقایسه با بسیاری از مدرن بسیار اساسی است. سایت های "برنامه وب" که از OAuth ، ورود به شبکه های اجتماعی استفاده می کنند ، به صفحه باز می گردند و موارد دیگر.

توجه: من دیدم که کدام اقدامات امنیتی برای یک وب سایت استاتیک معنی دارد؟ اما این پست بیشتر از منظر "تیم آبی" است ، در حالی که من از شما درخواست مشاوره در مورد چگونگی تأمین امنیت سایت را می کنم.