Основные правила защиты сайта от взлома

Ciara · 24.07.2009

Есть много способов взлома сайта, я напишу об основных:
1)Технология подлома базы (SQL-инъекция) - самая простая и достаточно распространенная технология, ее знают практически все кто знает SQL. Обезопаситься от нее можно легко и просто применив стандартную функцию PHP - mysql_real_escape_string() - данная функция полностью исключает SQL-инъекцию
2)Пробелы в строках- предполагается что пробелы в коде могут вызвать неправильные вычисление что и нужно хакеру. Защитить от них свой сайт можно применив функция вырезания пробелов trim()
3)Подмена COOKIES - технология COOKIES достаточна удобна, но стоит не забывать что все переменные массив $_COOKIES хранятся в браузере и их можно подменить (просто ввести вручную). Для защиты необходимо применять проверку (например проверять и логин и пароль а не толкьо логин). А можно воспользоваться сессией ($_SESSION) которая работает аналогично, но хранится на сервере, что полностью исключает подмену. Возможным недостатком $_SESSION может являться недостаточная функциональность, например сложность установки времени действия.

disaster · 25.07.2009

Ответ: Основные правила защиты сайта от взлома

по поводу сессий:

Возможным недостатком может являться .... сложность установки времени действия.

Чтобы задать время жизни сессии в секундах в файле php.ini устанавливаем следующие параметры:

session.gc_maxlifetime = 10800
session.cookie_lifetime = 10800

Если нет возможности внести изменения в файл php.ini, то можно сделать установку этих параметров при помощи файла .htaccess. Для этого вносим следующие строки:

php_value session.gc_maxlifetime 10800
php_value session.cookie_lifetime 10800

Кроме того, можно установить время жизни из PHP при помощи функции session_set_cookie_params. К примеру:

<?php
session_set_cookie_params(10800);
?>

Ciara · 28.07.2009

Ответ: Основные правила защиты сайта от взлома

А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?

Спанч Боб · 28.07.2009

Ответ: Основные правила защиты сайта от взлома

Ciara написал(а):
А можно сделать чтобы сессия действовала неограничено...

Можно, если это разрешает настройка хостинга.

Ciara написал(а):
...и даже когда закрываешь браузер?

Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку. :wink2:

dkameleon · 29.07.2009

Ответ: Основные правила защиты сайта от взлома

Ciara написал(а):
А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?

теоретически можно, но не рекомендуется.
файлы сессий будут забивать диск на сервере мусором.

Ciara · 30.07.2009

Ответ: Основные правила защиты сайта от взлома

Fialka написал(а):
Можно, если это разрешает настройка хостинга.

Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку.

у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется

Shair · 30.07.2009

Ответ: Основные правила защиты сайта от взлома

Ciara написал(а):
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется

Логически рассуждая, обрывает и сам сайт сессию чтоб мошенники (получив ваши куки сессии) не могли вывести у вас средства или наделать в вашем акке что-то плохое (от сайта конечно зависит что у вас там есть)

. О вас же стараются.

Спанч Боб · 30.07.2009

Ответ: Основные правила защиты сайта от взлома

Ciara написал(а):
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется

Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.

disaster · 31.07.2009

Ответ: Основные правила защиты сайта от взлома

Fialka написал(а):
Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.

Думаю что в случае когда идентификатор сессии передается в виде куки браузеру, то у куки может быть указан срок истечения - до закрытия браузера (это зависит от настроек сайта), соответственно после закрытия, кука с ним попросту удаляется.
Т.е. сайт и не знает что браузер у пользователя закрылся, просто после повторного открытия браузер перестает возвращать ид-р сессии на сайт

WSG · 11.09.2009

Ответ: Основные правила защиты сайта от взлома

Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.

Loner11 · 13.09.2009

Ответ: Основные правила защиты сайта от взлома

WSG написал(а):
Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.

А как лучше всего произвести данную проверку?

Rich_and_Free · 14.09.2009

Ответ: Основные правила защиты сайта от взлома

Loner11 написал(а):
А как лучше всего произвести данную проверку?

нанять знающего человека для прокерки

а вообще хотелось бы добавить что в оочень часто еще встречаются локальные инклюды.
т.е. код вида <?include('./web/$page.php');?> легко обойти передав значение $page='../../../../../../etc/passwd%00', успешность такой атаки зависит от настроек сервера. Большинство серверов на данный момент настраиваються не реагировать на нуль байт.
также стоит обращать внимание вообще на логику кода, т.е. ошибка в логике может выдать злоумышленнику путь к выполняемому скрипту, и, тотже локальный инклуд будет проще произвести.
но, как мне кажеться, защитить полностью веб сайт нереально, всегда есть админ который сохраняет пассы в файлах, или не удаляет письма от хостера из почты, использует простые пароли и т.д.
по поводу кукисов и сессий, дабы злоумышленник не подменил данные необходимо внимательно фильтровать переменные которые приходят от пользователя. XSS тоже очень актуальны в данный момент...
вобщем статей на данную тему написано море, стоит только поискать

WSG · 14.09.2009

Ответ: Основные правила защиты сайта от взлома

Loner11 написал(а):
А как лучше всего произвести данную проверку?

Если честно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключенном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.

Rich_and_Free · 15.09.2009

Ответ: Основные правила защиты сайта от взлома

WSG написал(а):
Если чесно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключеном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.

ознакомился с Вашим прайсом... впечатляет, но ценник завышен просто до облаков

желаю удачи в поиске богатых клиентов!

WSG · 15.09.2009

Ответ: Основные правила защиты сайта от взлома

SaimON, не так уж ценник и высок, если платить по среднему, или если на сайте не много уязвимостей и платить поштучно. Ну а с учётом затраченного времени, эта услуга так и стоит. Конечно можно довериться школьникам, готовым выполнять подобную работу за 20$, но и результат будет соответствующим. (Это как и при создании сайтов).

Спасибо за пожелания!

P.S.
Готовы сделать скидку до 50% первым клиентам с этого форума.

Спанч Боб · 15.09.2009

Ответ: Основные правила защиты сайта от взлома

При таком сайте - цены, конечно, ппц. Я сомниваюсь что у вас найдутся клиенты...

WSG · 15.09.2009

Ответ: Основные правила защиты сайта от взлома

Fialka, сайт в разработке и реально используется только для того, чтобы было куда повесить прайс и пример отчёта.

Основные правила защиты сайта от взлома

Ciara

Новичок

disaster

Интересующийся

Ciara

Новичок

Спанч Боб

МАСТЕР

dkameleon

МАСТЕР

Ciara

Новичок

Shair

Профессионал

Спанч Боб

МАСТЕР

disaster

Интересующийся

WSG

Интересующийся

Loner11

Любитель

Rich_and_Free

МАСТЕР

WSG

Интересующийся

Rich_and_Free

МАСТЕР

WSG

Интересующийся

Спанч Боб

МАСТЕР

WSG

Интересующийся

Похожие темы