|
|
Интересные статьи
|
|
|
|
|
Кража FTP-паролей 
Есть вирусы, которые находят запомненные на зараженных компьютерах FTP-аккаунты и используют их для внедрения вредоносного кода на соответствующие сайты. Как бороться с вирусами, думаю, в интернете море информации. Переполнение буфера, дыры в серверном ПО
Тут можно посоветовать только одно: регулярно следить за обновлениями и за бюллетенями об уязвимостях для ПО, установленного на сервере. "Сам себе злобный Буратино"
Ничто не сравнится по разрушительности с атакой изнутри. Причем я не имею в виду "засланных казачков", т. е. злоумышленников, устроившихся работать в фирме, обслуживающей сайт. Ловля таких "штирлицев" – прерогатива службы безопасности.
Я имею в виду то, что иные программисты, стремясь воплотить некоторые нестандартные идеи, кажущимися им весьма удачными и новаторскими, подрывают безопасность своих систем, открывая щели, форточки и двери для атак.
Это может быть разработка своих алгоритмов шифрования, на поверку оказывающимися гораздо менее взломостойкими, чем давно известные алгоритмы (в лучшем случае), либо вообще никуда не годными.
Это может быть система фильтрации HTML, где убираются только известные программисту теги <script>, а остальное остаётся...
Это может быть "гениальная" система замены Register Globals, когда программист через $$var=$_REQUEST[$var] или даже eval('$'.$var.'=$_REQUEST["'.$var.'"]') заводит переменные, пришедшие из запроса, не соображая, что через эту "форточку" можно как минимум попортить имеющиеся переменные (к примеру, "грохнуть" массив $_SERVER). Через eval же можно вообще выполнить произвольный код.
Проблемы такого рода обычно имеют место, когда разработкой занимается человек, не освоивший, не изучивший ту область, в которой работает.
Потому и написана эта статья, не для обучения малолетних хакеров, а для открытия перед программистом новых горизонтов в области, где он трудится и творит. Источник: http://www.captcha.ru
|
|
|
|