Back to portfolio

Case study

CMS security review

Przykladowa analiza bezpieczenstwa dla projektu CMS: bez publikowania wrazliwych szczegolow, ale z pokazaniem sposobu myslenia, priorytetow i stylu raportowania.

Scope

  • Publiczne widoki strony, formularze i linki.
  • Panel CMS jako obszar wymagajacy kontroli dostepu, sesji i walidacji danych.
  • Podstawowe naglowki HTTP oraz zachowanie aplikacji w przegladarce.

Risk checklist

  • Authentication: czy panel administracyjny wymusza silne hasla, limity prob logowania i bezpieczne sesje.
  • Authorization: czy uzytkownik nie moze wejsc w zasoby poza swoja rola.
  • Input validation: czy formularze odrzucaja HTML/JS tam, gdzie nie powinny go przyjmowac.
  • Uploads: czy pliki maja limit typu, rozmiaru i bezpieczna lokalizacje.
  • Headers: CSP, HSTS, X-Content-Type-Options, Referrer-Policy i Permissions-Policy.

Example finding format

Finding: Brak naglowka Permissions-Policy.

Impact: Przegladarka nie dostaje jasnej instrukcji, ktore funkcje, np. kamera lub geolokalizacja, maja byc niedostepne dla strony.

Recommendation: Dodac restrykcyjny naglowek i odblokowywac funkcje tylko wtedy, kiedy sa rzeczywiscie potrzebne.

What this shows

Umiejetnosc opisu ryzyka, priorytetyzacji i proponowania poprawek bez straszenia oraz bez chaotycznego wrzucania technicznych skrotow.