Безопасность сайтов

Взломать можно все,
это лишь вопрос времени.

 

В последнее время угроза взлома сайтов резко возросла. Общедоступность информации о методах взлома и безнаказанность хакеров привели к тому, что даже школьники начинают ломать сайты. К сожалению, даже в самых прогрессивных системах находят уязвимости, попробуйте набрать в google «уязвимости Joomla!» или «exploit DLE» и вы найдете десятки дыр в безопасности. Существует огромное количество классов уязвимостей я приведу некоторые, самые распространенные:

 

  • XSS

  • database injection

  • shellcode

  • php magic methods

  • Bruteforce

     

Я не ошибся занеся брут в уязвимости - от перебора паролей должен защищаться как сам скрипт, так сервер. Но давайте по-порядку.

 

XSS — класс уязвимостей позволяющий хакеру вставить свой HTML-тег на сайт, подразделяется на активный(виден всем) и пассивный(доступен по определенной ссылке). В результате можно получить cookies пользователей, в том числе и админа, или же заразить машины клиентов вирусом.

 

Database injection — возможность выполнять запросы к базе данных через скрипт. Наиболее опасная и распространенная уязвимость, так как злоумышленник получает доступ и к паролям, и к контенту сайта.

 

Shellcode — возможность исполнять команды на сервере через скрипт. Чаще всего на сайт заливается шелл через DDOS или уязвимость в самом скрипте.

 

Php magic methods — возможность выполнить PHP скрипт с помощью десериализации(функции __unserialize, __wake, и прочих) недостаточно отфильтрованного пользовательского ввода. Публичной огласке подверглась в ноябре 2009 года Стефаном Эссером.

 

Bruteforce — подбор пароля к пользователю или админке. Достаточно просто блокируется каптчей и/или запретом на попытку ввода пароля nое количество раз.

Как видите мы еще не закрыли старые дырки, а уже находят новые, этот процесс вечен, и я вам скажу по-секрету на любом даже самом крутом и безопасном сайте можно при должном усердии найти лазейку. Наша задача уменьшить их количество.

 

Всегда ваш,

Александр 7ion.

Tags: php security xss web exploit | 2013-08-12 12:22:37


© Alexander Semion