Безопасность сайтов

Автор Тема: Безопасность сайтов  (Прочитано 4927 раз)

Оффлайн HaosameАвтор темы

  • Бизнес оценка: (0)
  • Пользователь
  • **
  • СПАСИБО: 65
  • Сообщений: 88
  • Карма: 12
  • Пол: Женский
  • Путь в тысячу ли начинается с первого шага.
    • Просмотр профиля
    • Блог web-программиста

Оффлайн HaosameАвтор темы

  • Пользователь
  • **
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 65
    • Сообщений: 88
    • Карма: 12
    • Пол: Женский
    • Путь в тысячу ли начинается с первого шага.
      • Просмотр профиля
      • Блог web-программиста
Безопасность сайтов
« : 18-06-2014, 11:55:47 »
14
Слежу за форумом уже 2 года. Я программист, и, зачастую, рассматриваю ваши сайты с этой точки зрения. Невольно заметила, что такой теме как безопасность сайтов уделено печально мало внимания. Нет, я конечно, видела что тут предлагают аудит безопасности, и это очень хорошо. Но считаю, что врага надо знать в лицо. Поэтому набросала вот такой общий обзор безопасности сайтов.

Скажу сразу, разобрать можно абсолютно все. Вопрос только во времени и сложности. Поэтому и надо сделать так, чтобы "взлом" сайта был как можно сложнее, а потери минимальные. Последним таким ярким примером стал ebay.com. (http://habrahabr.ru/post/223661/) Нам до ebay еще расти и расти, но защититься даже от школьников, впервые узнавших об уязвимостях явно стоит. Врядли они "уведут" ваш сайт, но гадостей понаделать могут. От порчи контента, до удаления базы данных.

Начнем по-порядку, с конкретных уязвимостей, до дырок в CMS.

Самые распространенные уязвимости - всевозможные инъекции.

SQL инъекция - один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.

Чем грозит: дает возможность выполнить произвольный запрос к базам данных - чтение/записи/удаления/изменения данных.

Методика атаки: Изучается поведение скриптов и данные в POST/GET запросах, cookie, HTTP_REFERER, AUTH_USER и AUTH_PASSWORD. Злоумышленник просто перебирает параметры, подставляя произвольный код (зачастую просто кавычки). Если страница как-то неправльно на это реагирует, и не ругается на неверный формат параметров - уязвимость есть.

Защита: Тщательно фильтруем все входные параметры, значения которых используются для постороения SQL запроса.

Как проверить свой сайт: SQL Inject Me (https://addons.mozilla.org/ru/firefox/addon/sql-inject-me/) — как легко догадаться по названию, этот плагин Firefox поможет вам проверить сайт на наличие sql инъекций. Вы можете заставить его проанализировать все get параметры и формы на текущей странице. Этот плагин создает огромный трафик и иногда сайты даже падают от его работы :). Поэтому не стоит включать сразу все проверки одновременно.

Дополнение: Опасна для "соседей" по хостингу, если хостер не корректно настроил сервер (а это бывает весьма часто).

XSS-инъекции или межсайтовый скриптинг — это атака, которая позволяет злоумышленнику вставлять в HTML-код сайта вставки вредоносного HTML-кода, как правило, скрипты JavaScript.

Чем грозит: Можно выполнить произвольный JS-код в браузере жертвы - получить cookei жертвы, или даже выполнить некоторые действия от имени этого пользователя. Иногда используется для DDoS.

Методика атаки: Прикрепить скрипт к странице, рисунку, ссылке или тексту. (По поводу последнего — очень давно видела на livejournal возможность в комментах помещать скрытый frame, куда помещалось видео с ютуба, и таким образом накручивать счетчик просмотров данного видео)

Защита: Владельцу сайта: форматировать комментарии в чистый HTML, отбрасывая код. Проверять ссылки на астрибуты JS. Посетителям: не быть растяпами и посматривать переодически по каким ссылкам и куда вы ходите. Само собой, не соглашаться установить/проверить компьютер во внезапно выскочивших окошках, якобы от антивируса.

Как проверить свой сайт: XSSMe(https://addons.mozilla.org/ru/firefox/addon/xss-me/) - плагин для Firefox проверяет на уязвимость к XSS.

Это две основные атаки на сайты вне зависимости от вашей CMS. Теперь поговорим про безопасность CMS.

Вот тут вот (http://www.ruward.ru/sitesecure/) было интересное исследование на эту тему. Если лень читать, ниже краткие выдержки из статьи:

- ...сайты, использующие, бесплатные CMS в среднем в четыре раза чаще подвергаются заражениями и попадают в черные списки, чем сайты на коммерческих CMS.

 - В то же время среди сайтов на CMS TYPO3 не было обнаружено ни одного зараженного сайта. Мы связываем этот с тем, что команда разработки TYPO3 уделяет значительное внимание повышению безопасности своей CMS.

- Своевременно обновляемые версии CMS снижают риск появления проблем в среднем в два раза. Наиболее явно польза от перехода на свежие версии заметна на примере Joomla и WordPress.

- версия того или иного веб-сервера не является решающим фактором безопасности сайта. Т.е. все равно на Nginx, Apache или IIS ваш сайт крутится.

- Яндекс заносит сайты в черный список в два раза чаще, чем Google. При этом пересечение списков Google и Yandex составляет всего 10% от общего числа занесенных в черные списки сайтов. Всегда следите за наличием в этих списках вашего сайта.

- Более половины владельцев, чьи сайты активно используются для продвижения товара или услуги, не знали о наличии проблем с их сайтами.

- Владельцы 4500 сайтов, (из 30 000) участвовавших в исследовании, подвержены риску финансовых потерь из-за имеющихся на сайте проблем. Это почти каждый седьмой сайт.

Цитировать
Сайты сделанные по принципе фриланс => фрилансер с опытом несколько месяцев => joomla => +20 сторонних модулей => сдача проекта => забыли на год 100% приводит к образовыванию в сайте огромного количества дыр и врятли тут всю ответсвенность можно возможить на cms.

Что делаем:

- Следим какие модули и откуда устанавливаем. Из непроверенных источников даже шаблон сайта может нести опасность. Особенно, если он продается, а вы его «нашли» бесплатно.

- Если есть комментарии на сайте или возможность самим создавать контент, делаем все возможное для защиты от XSS и SQL — инъекций.

- Обновляемся, обновляемся и еще раз обновляемся. Запомните, если вы или ваш программист внес правки на сайт, которые препятсвуют обновлению — риск подхватить «заразу» в разы возрастает. (Программисту по рукам, дабы больше такого не делал)

- По возможности пользуемся SFTP(http://ru.wikipedia.org/wiki/SFTP), шифрованным каналом вместо устаревшего FTP. Перехватить ваши данные и расшифровать их в таком случае становиться намного труднее. Просите хостера дать вам такой доступ, если не дадут под странными отмазками — нафик такого хостера.

- Если у вас VPS/VDS — сервер, наймите хорошего админа для его обслуживания, или оплатите услуги у хостера. Племянник дяди Васи, только закончивший «крутой ВУЗ», может оказаться юным дарованием, а может и нет. За его ошибки расплачиваться вам.

- Следим за состояниям здоровья своего компьютера. Бесполезно ставить 26-ти символьные пароли, если у вас на компе троян или кейген, а куки браузера уже давно уходят на сторону.

На этом все. Будьте бдительны.

Ссылки для более глубокого изучения:
 - http://habrahabr.ru/post/149152/ - Вся правда об ХSS или Почему межсайтовое выполнение сценариев не является уязвимостью? (Вещь весьма спoрная, но стоит внимания)
 - http://habrahabr.ru/post/120699/ - Как взламывали rospil с помощью SQL-инъекций.
 - http://habrahabr.ru/post/148151/ - по SQL-инъекциям хорошая статья.

                  
Написано специально для http://www.sbup.com, копия пойдет на мой блог.


Оффлайн Livine

  • Бизнес оценка: (0)
  • Пользователь
  • **
  • СПАСИБО: 9
  • Сообщений: 89
  • Карма: 1
  • Пол: Мужской
  • вааа
    • Просмотр профиля
    • Онлайн аниме портал

Оффлайн Livine

  • Пользователь
  • **
Re: Безопасность сайтов
« Ответ #1 : 19-06-2014, 08:59:27 »
Интересная запись, спасибо
Админ аниме портала http://anime-rus.ru/

Оффлайн maestro_bah

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 109
  • Сообщений: 248
  • Карма: 34
  • Пол: Мужской
  • Награды SEO-специалист
    • Просмотр профиля
    • КЛИМАТ-Т

Оффлайн maestro_bah

  • Постоялец
  • ***
Re: Безопасность сайтов
« Ответ #2 : 19-06-2014, 10:18:58 »
познавательно, буду работать над безопасностью , спасибо

Оффлайн beesyst

  • Бизнес оценка: (0)
  • Пользователь
  • **
  • СПАСИБО: 5
  • Сообщений: 65
  • Карма: 1
  • Пол: Мужской
  • BeeSyst
    • Просмотр профиля
    • BeeSyst

Оффлайн beesyst

  • Пользователь
  • **
Re: Безопасность сайтов
« Ответ #3 : 19-06-2014, 11:44:54 »
Кратко и позновательно. За ссылки в футере отдельное спасибо.

Оффлайн Alexey Osokin

  • Бизнес оценка: (0)
  • Рекрут
  • *
  • СПАСИБО: 1
  • Сообщений: 31
  • Карма: 0
  • Пол: Мужской
    • Просмотр профиля
    • Литературный блог Алексея Осокина

Оффлайн Alexey Osokin

  • Рекрут
  • *
Re: Безопасность сайтов
« Ответ #4 : 19-06-2014, 12:02:32 »
Как много всякой бяки...
Спасибо за актуальную информацию, будем проверять
Литературный блог Алексея Осокина http://alexey-osokin.ru/ Рассказы я там пишу  :) а заодно литературные новости освещаю


Оффлайн evgenktulu

  • Бизнес оценка: (0)
  • Дебютант
  • *
  • СПАСИБО: 0
  • Сообщений: 7
  • Карма: 0
  • Награды SEO-специалист
    • Просмотр профиля

Оффлайн evgenktulu

  • Дебютант
  • *
Re: Безопасность сайтов
« Ответ #5 : 19-06-2014, 12:12:58 »
Очень и очень полезная статья. Спасибо  :)

Оффлайн pcregeneration

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 90
  • Сообщений: 167
  • Карма: 18
  • Пол: Мужской
  • http://pc-regeneration.ru
    • Просмотр профиля
    • Ремонт компьютера в Краснодаре

Оффлайн pcregeneration

  • Постоялец
  • ***
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 90
    • Сообщений: 167
    • Карма: 18
    • Пол: Мужской
    • http://pc-regeneration.ru
      • Просмотр профиля
      • Ремонт компьютера в Краснодаре
Re: Безопасность сайтов
« Ответ #6 : 28-06-2014, 01:34:33 »
спасибо) плюсую тему! правильно подняли  :)
Ремонт компьютера в Краснодаре, статьи о ПК, компьютерая помощь.

Оффлайн ezhabchik

  • Бизнес оценка: (1, 100%)
  • Постоялец
  • ***
  • СПАСИБО: 36
  • Сообщений: 199
  • Карма: 5
    • Просмотр профиля

Оффлайн ezhabchik

  • Постоялец
  • ***
Re: Безопасность сайтов
« Ответ #7 : 27-07-2014, 02:48:39 »
Над безопасностью нужно работать всегда ) По-этому, хоть меня сейчас возможно и заминусуют, но я все же скажу, долой популярные ЦМС )
Лично мое мнение, не судите строго.  ::)

Оффлайн HaosameАвтор темы

  • Бизнес оценка: (0)
  • Пользователь
  • **
  • СПАСИБО: 65
  • Сообщений: 88
  • Карма: 12
  • Пол: Женский
  • Путь в тысячу ли начинается с первого шага.
    • Просмотр профиля
    • Блог web-программиста

Оффлайн HaosameАвтор темы

  • Пользователь
  • **
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 65
    • Сообщений: 88
    • Карма: 12
    • Пол: Женский
    • Путь в тысячу ли начинается с первого шага.
      • Просмотр профиля
      • Блог web-программиста
Re: Безопасность сайтов
« Ответ #8 : 28-07-2014, 09:55:15 »
У популярных CMS есть одно большое преимущество: с ними работает огромное количество людей. А значит и шанс заметить дырку в безопасности намного выше. Поэтому для них так важно сохранить возможность обновления. В мало популярных CMS есть шанс жить с дыркой достаточно долго.
Впрочем, я считаю, что все эти заплатки и прочие премудрости защита только от "малoлетних кулхацкеров". Серьезные и суровые дяди разберут заказанный сайт по кирпичикам вне зависимости от навороченности защиты.
Отсюда вывод: защищаемся как можем, но в крайности не ударяемся. CMS используем те, которые нравятся. Сервера отдаем в настройку хостеровским админам. Переодически мониторим текущие версии.


Оффлайн Dogica

  • Бизнес оценка: (0)
  • Ветеран
  • *****
  • СПАСИБО: 441
  • Сообщений: 1314
  • Карма: 36
  • Пол: Мужской
  • www.dogica.com
  • Награды SEO-специалист
    • Просмотр профиля
    • DOGICA

Оффлайн Dogica

  • Ветеран
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 441
    • Сообщений: 1314
    • Карма: 36
    • Пол: Мужской
    • www.dogica.com
    • Награды SEO-специалист
      • Просмотр профиля
      • DOGICA
Re: Безопасность сайтов
« Ответ #9 : 08-10-2014, 08:52:16 »
Спасибо за инфу.
Очень четко и по делу.
DOGICA® 3D World of Dog & Puppy
HTTP://WWW.DOGICA.COM  ;)


 

Похожие темы

  Тема / Автор Ответов Последний ответ
4 Ответов
1863 Просмотров
Последний ответ 24-09-2010, 20:32:16
от Killua
8 Ответов
2124 Просмотров
Последний ответ 27-03-2011, 04:38:46
от DVT
3 Ответов
1451 Просмотров
Последний ответ 18-07-2011, 12:22:47
от Павел Joofaq
6 Ответов
2363 Просмотров
Последний ответ 29-05-2014, 02:52:19
от pilc
4 Ответов
1602 Просмотров
Последний ответ 08-10-2012, 12:48:10
от Salpis invest