Кража FTP-паролей

Сайт для программистов

Есть вирусы, которые находят запомненные на зараженных компьютерах FTP-аккаунты и используют их для внедрения вредоносного кода на соответствующие сайты. Как бороться с вирусами, думаю, в интернете море информации.
Переполнение буфера, дыры в серверном ПО

Тут можно посоветовать только одно: регулярно следить за обновлениями и за бюллетенями об уязвимостях для ПО, установленного на сервере.
"Сам себе злобный Буратино"

Ничто не сравнится по разрушительности с атакой изнутри. Причем я не имею в виду "засланных казачков", т. е. злоумышленников, устроившихся работать в фирме, обслуживающей сайт. Ловля таких "штирлицев" – прерогатива службы безопасности.

Я имею в виду то, что иные программисты, стремясь воплотить некоторые нестандартные идеи, кажущимися им весьма удачными и новаторскими, подрывают безопасность своих систем, открывая щели, форточки и двери для атак.

Это может быть разработка своих алгоритмов шифрования, на поверку оказывающимися гораздо менее взломостойкими, чем давно известные алгоритмы (в лучшем случае), либо вообще никуда не годными.

Это может быть система фильтрации HTML, где убираются только известные программисту теги <script>, а остальное остаётся...

Это может быть "гениальная" система замены Register Globals, когда программист через $$var=$_REQUEST[$var] или даже eval('$'.$var.'=$_REQUEST["'.$var.'"]') заводит переменные, пришедшие из запроса, не соображая, что через эту "форточку" можно как минимум попортить имеющиеся переменные (к примеру, "грохнуть" массив $_SERVER). Через eval же можно вообще выполнить произвольный код.

Проблемы такого рода обычно имеют место, когда разработкой занимается человек, не освоивший, не изучивший ту область, в которой работает.

Потому и написана эта статья, не для обучения малолетних хакеров, а для открытия перед программистом новых горизонтов в области, где он трудится и творит.


Источник: http://www.captcha.ru

Рекомендуем



DOS Во-первых, если сайт не оптимизирован, если для каждого посетителя производятся объемные выборки и расчеты, если сайт генерирует страницы секунду или две, даже простого увеличения посетителей вследствие того, что ссылку на сайт опубликовали в каком-то более-менее посещаемом месте, достаточно, чтобы сервер не справится с возросшей нагрузкой


PHP профессионально... Безопасность Автор такой мега-авторизации надеялся, что хакер не успеет после ввода пароля просмотреть исходник HTML, но мы-то знаем, что ВСЮ подноготную client-side приложений можно найти в кеше


Отключение кук (cookie) Дело в том, что часто cookie используют для хранения идентификатора сессии, который должен передаваться серверу при каждом обращении, чтобы у пользователя не обнулялась корзина, чтобы ему не приходилось вводить логин-пароль после каждого клика по ссылке и т