Безопасность


    CSRF: совершение действия от имени пользователя

    Дело тут, правда, такое, что от пользователей можно и требовать обязательного включения передачи Referer, тем более что часто на этом базируется защита от размещения ссылок на ваш контент на чужих сайтах

     

    DOS

    Во-первых, если сайт не оптимизирован, если для каждого посетителя производятся объемные выборки и расчеты, если сайт генерирует страницы секунду или две, даже простого увеличения посетителей вследствие того, что ссылку на сайт опубликовали в каком-то более-менее посещаемом месте, достаточно, чтобы сервер не справится с возросшей нагрузкой

     

    Full path disclosure (раскрытие полного пути)

    Косвенно используется для определения имени пользователя, типа операционной системы, запущенной на сервере, доступности возможных папок

     

    PHP профессионально... Безопасность

    Автор такой мега-авторизации надеялся, что хакер не успеет после ввода пароля просмотреть исходник HTML, но мы-то знаем, что ВСЮ подноготную client-side приложений можно найти в кеше

     

    Register Globals

    Если программист не следит за начальной инициализацией переменных, может возникнуть уязвимость, иллюстрируемая простым примером:

     

    SQL-инъекции

    Некоторые специалисты советуют применять для этого специальные конструкторы SQL-запросов, которые сами обеспечивают требуемое разделение запроса и данных

     

    XSS

    Зачастую, все-таки надо предоставить пользователю возможность как-то оформлять свои сообщения: выделять цитаты, менять шрифты, раскрашивать тексты разным цветом, вставлять картинки и таблички, как, к примеру, сделано на LiveJournal

     

    XSS - cross-site-scripting (межсайтовый скриптинг)

    Хакер может указать в качестве адреса сервер, имеющий узкий интернет канал, парализуя его работу большим количеством запросов

     

    XSS и BB-коды

    Всем этим мы добъемся того, что наш фильтр будет правильно работать и в случае появления поддержки в браузерах каких-то конструкций, которых, возможно, еще и в проекте нет

     

    XSS и HTML

    Такая фильтрация довольно сложна, ее сложность усугубляется тем, что браузеры допускают значительные вольности при написании HTML-разметки, стилей и скриптов, могут прощать отсутствующие или незакрытые кавычки, кодированные различными алгоритмами символы, лишние пробельные символы и пр

     

    XSS и UTF-7

    Отдельно стоит упомянуть использование для XSS-атаки скриптов, написанных в кодировке UTF-7

     

    Аудит безопасности - Зачем это надо?

    Вы можете обратиться к нам независимо от того хотите вы создать простой сайт-визитку или большой портал с множеством функций и возможностей для пользователей или же если вы например только хотите проверить скрипты вашего сайта на отсутствие ошибок

     

    Безопасность баз данных

    Вы должны понимать, что если злоумышленник сможет воспользоваться какой-либо учетной записью вашей БД, он сможет вносить в базу все те изменения, что и программа, которая использует текущую учетную запись

     

    Безопасность баз данных (Часть 2)

    Вы можете использовать хранимые процедуры и заранее определенные курсоры для абстрагированной работы с данными, не предоставляя пользователям прямого доступа к данным и представлениям, но это решение имеет свои особенности

     

    Безопасность файловой системы

    Предполагается ситуация, когда веб-интерфейс, написанный на PHP, регулярно используется для работы с файлами, и настройки безопасности позволяют удалять файлы в домашнем каталоге

     

    Блокировка нежелательных обращений к серверу

    1 находится в нежелательной сети, и нежелательные запросы исходят из всей сети, нужно блокировать всю подсеть

     

    Введение в безопасность PHP

    PHP можно использовать для создания полноценных серверных приложений, использующих доступные для указанного пользователя возможности операционной системы, также возможна реализация включения файлов, хранящихся на сервере с минимальным риском в жестко контролируемой среде

     

    Волшебные Кавычки (Magic Quotes)

    Причем если данная директива установлена в on, это полностью отменяет установку директивы magic_quotes_gpc

     

    Данные, введенные пользователем

    Вы также можете предусмотреть отключение таких конфигурационных опций, как register_globals, magic_quotes и некоторых других, которые могут приводить к сомнениям относительно происхождения или значения получаемых переменных

     

    Загрузка файлов

    Таким образом, контролировать для обеспечения безопасности следует именно расширение файла, а проверки через определение mime-type и через попытку открыть файл функцией getimagesize имеют смысл только для контроля того, что вместо картинки не будет загружен мусор, безвредный, но картинкой не являющийся

     

    Защита баз данных: разделение доступа

    Теперь, если скрипт отображения сайта окажется уязвим и злоумышленник получит возможность от имени учетной записи отображения site_use выполнять команды MySQL, он не сможет совершить ничего существенного

     

    Использование глобальных переменных (Register_Globals)

    В случае, если значение параметра register_globals ON, перед выполнением вашего кода будут инициализированы различные переменные, например, переменные, переданные при отправке формы

     

    Кража FTP-паролей

    Я имею в виду то, что иные программисты, стремясь воплотить некоторые нестандартные идеи, кажущимися им весьма удачными и новаторскими, подрывают безопасность своих систем, открывая щели, форточки и двери для атак

     

    Маскировка PHP

    Несколько несложных методик могут помочь вам скрыть PHP, что усложняет работу потенциального взломщика, который пытается найти брешь в вашей системе

     

    Опасность при использовании кода биржи ссылок MainLink

    Но в остальных случаях вебмастеры очень часто не заботятся о переименовании директории с файлами MainLink с оригинальной mainlink на какую-либо другую

     

    Отключение кук (cookie)

    Дело в том, что часто cookie используют для хранения идентификатора сессии, который должен передаваться серверу при каждом обращении, чтобы у пользователя не обнулялась корзина, чтобы ему не приходилось вводить логин-пароль после каждого клика по ссылке и т

     

    Отправка email с сайта

    Для сокрытия адреса почтового ящика от спамеров часто используются форму обратной связи, информация из которой поступает серверному скрипту, который уже сам отправляет почту адресату по известному только скрипту адресу, к примеру, php-функцией mail

     

    Прикладная защита от DDoS-атак

    Для того, чтобы не совершать регулярных однообразных обращений к базе данных, а также ряда других действий, которые из запроса в запрос не меняют результата, будем сохранять результаты предыдущих вычислений

     

    Раскрытие данных в приложениях, использующих MySQL

    Существует универсальный способ раскрытия важных данных, таких как структуры таблиц MySQL в веб-приложениях, при соблюдении некоторых условиях

     

    Управление аутентификацией в Apache

    Кроме того, можно использовать данную возможность для доступа к отдельной части сайта только с локального адреса, для этого пропишите IP 127

     


Рекомендуем



Бесплатная раскрутка сайта Решить эту проблему всегда готовы организации, занимающиеся непосредственно раскруткой, но, как чаще всего происходит, идет простая покупка ссылок или накрутка счетчика в системе активной рекламы сайтов


Html c нуля Браузеры преобразовывают значение параметра http-equiv, заданное с помощью content, в формат заголовка ответа HTTP и обрабатывают их, как будто они прибыли непосредственно от сервера


Веб-анимация Логотип - это фирменный знак, часть бренда, и поэтому он не должен содержать сложных для зрительного восприятия объектов, тем более недопустимым считается включение в него анимационных изображений