-1)) { fetch_object('currentPost').scrollIntoView(true); }"> Добро пожаловать на SEO Форум, все для вебмастера. + Ответить в теме Показано с 1 по 2 из 2 Тема: Безопасность PHP-скриптов
  1. 08.12.2011 15:53 #1 optimizer Продвинутый Репутация0 Регистрация 29.11.2011 Сообщений 100 Поблагодарил(а) 1 Получено благодарностей: 1 (сообщений: 1). Безопасность PHP-скриптов Говорят, что сейчас в век CMS и визуальных редакторов собрать сайт может каждый. Но обратная сторона
    вопроса - безопасность. Все эти CMS'ки и прочие движки потенциально уязвимы. Не стоит слепо верить их
    рекламе, приведу немного статистики:

    Vbulletin 3.8.6. Версия содержала не менее 2 серьезных ошибок, позволяющих завладеть управлением форума.
    Вся линейка Vbulletin 3.*.* содержала не критическую ошибку, позволяющей без ведома владельца форума
    узнавать версию движка и впоследствии пользоваться этим для эксплуатации тех или иных критических
    ошибок на каждой версии.

    Joomla. Содержит большое количество плагинов, модулей, мамботов сомнительных с точки зрения безопасности.
    Не менее 8 уязвимостей в сторонних расширениях находятся тем же Googl'ом.
    Одна из старых версий 1.5. содержала серьезный баг, позволяющий сменить пароль для главного пользователя
    системы - admin.

    Wordpress 3.2.1. Версия содержала уязвимость, позволяющую в коллективных блогах (если пишет не только
    админ) сбрасывать пароли пользователей. Не менее 57 уязвимостей в тех или иных сторонних компонентах.

    В одной из версии 1С-Битрикс содержалась ошибка, в результате которой возможно перенаправление на
    вредоносный сайт даже без взлома админки. Для этого достаточно было зарегистрировать домен вида
    случайные буквы - фрагмент имени сайта, использующего 1С-Битрикс. Пример:
    zadsitename.ru
    Данный ресурс открывался на сайте жертвы по iframe.

    Так ли уж все плохо?

    Использовать коробочные движки или свои - решение только владельца сайта. В этом деле нет однозначного
    решения. Стоит учитывать, что любой софт (даже собственный), к коим и относятся CMS может содержать
    ошибки. Естественно, уязвимостям подвержены как платные, так и бесплатные разработки.

    Компания Яндекс, предлагает например, такие советы:
    1. Регулярно обновлять CMS.
    2. Скрывать тип и версию установленной CMS и ее плагинов, не указывать их в коде страницы. (от себя добавлю, что если возможно, лучше купить право отключения копирайтов и жить спокойно, это если не бесплатная CMS) Кроме того, нужно следить за тем, чтобы сайт нельзя было обнаружить с помощью специальных поисковых запросов-«дорков», которые злоумышленники используют для поиска уязвимых CMS.
    3. Не использовать контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy).
    4. Проверять все без исключения данные, которые пользователь может ввести на страницах сайта или напрямую передать серверным скриптам при помощи запросов. Это может потребовать самостоятельной доработки модулей CMS. Например, такая доработка фильтрации входных данных позволяет снизить уязвимость DLE Shop. Для тестирования этих проверок рекомендуется привлечь специалистов по тестированию на проникновение (penetration-тестированию).
    5. Использовать минимум сторонних скриптов, модулей, расширений. В самих пакетах CMS уязвимостей обычно немного, в основном они приходятся на дополнения, причем как сторонней разработки, так и официальные.
    6. Вебмастера и администраторы должны работать в безопасном окружении и выполнять правила безопасной работы в интернете (в частности, не сохранять пароли в браузере и FTP-клиенте, защищать рабочее место антивирусом и файрволлом).
    7. Перед тем, как устанавливать на веб-сервер какое-либо ПО, очень полезно узнать о его уязвимостях и способах их устранения с помощью The Open Source Vulnerability Database.

    В принципе, все разумно. От себя добавлю следующее:

    1. Apache можно сконфигурировать так, что пользователь не будет знать, работает ли на сайте CMS или сайт не использует CMS. Пример: можно настроить таким образом, чтобы php-код искался в html-файлах, cgi-файлах, а .php файлы переименовать в соответствующее расширение. Может защитить сайт от школьников, ламеров и недовзломщиков, вероятность того, что ваш сайт взломает профессионал - невелика, если ваш ресурс мало раскручен (в обществе). Этот способ может не подойти, если ваш хостер запрещает использование собственного .htaccess.
    2. Включение ЧПУ помимо украшений и пользы для поисковиков (если соблюден пункт яндекса "скрывать тип и версию установленной CMS") также может быть полезно, он будет препятствовать взлому по типу "набираем произвольный php-параметр", даже если ваша CMS плохо защищена. Перелинковка желательно должна иметь вид
    example.ru/имя раздела/имя статьи/
    example.ru/номер-имя статьи

    Во всех остальных случаях, можно догадаться, что это за CMS, например у Joomla ЧПУ имеет вид example.ru/index.php/имя раздела/имя статьи. Впрочем, даже такое ЧПУ может защитить от недалеких людей: все, что они могут - найти готовые статьи по взлому, собственные знания по теме отсутствуют.
    Это конфигурируется в .htaccess.
    При этом, если взломщику известно, какая версия CMS установлена на сайте - ему это не помешает (он по прежнему может вызвать произвольный php-параметр). Вывод: не отвечайте на вопросы "что за cms, хочу себе такую установить".

    3. Если ваша CMS поддерживает такую возможность - задайте другие имена папок скрипта, опять таки защита от недовзломщиков. Если же запускается социально-значимый сайт на популярной CMS, предполагающий большую посещаемость (от полмиллиона уников и выше), не лишним это будет сделать в коде вручную независимо от возможностей или пригласить программистов.
    4. Установка правильных прав на сервере для каждого файла, в соответствии с рекомендациями разработчиков CMS системы - повышает ее безопасность. Как правило, скрывают файлы типа config.php, поскольку они содержут наиболее конфинденциальную информацию о сервере. Заполучив ее - можно сделать с сайтом, все что угодно. Нередко, этим пунктом пользователи пренебрегают. Если не установить права - файл будет виден всеми, иначе - только владельцем сайта по ftp и системой, которая использует его для работы. Также закройте robots.txt (может содержать папку с админкой, а следовательно позволяет узнать, что за CMS) и .htaccess (если там перелинкуется какая-то CMS, то по папкам, указанным в файле, можно узнать, что это за CMS). Все остальные файлы закрывать не следует - иначе посетители просто не увидят сайт
    5. Если сайт вам дорог, если вы его создали не для "теста" и не от "балды" - регулярно делайте бекапы, даже если их уже делает ваш хостер. Как .php файлов, так и базы MySQL. В случае, если злоумышленник получит доступ к административной панели или внедрит вредоносный код, перенаправляющий на левые сайты - ваш ресурс всегда можно восстановить к дате последнего бекапа. Обратимся за примером к крупным ресурсам - lib.ru, работающий с 1994 попеременно имеет 30 копий бекапов. Также, эта мера пригодится на случай, если ваш хостер просто перестанет работать.

    Статья написана на основе собственных знаний и не претендует на полноту изложения - если вам есть что добавить, прошу писать ниже.
    Информация об уязвимостях в популярных движках взята только из открытых источников (не буду же я тратить время на разборки чужого кода). Если ваш сайт еще ни разу не был взломан, но он и не был защищен - значит, он просто никого не интересует. Последний раз редактировалось optimizer; 08.12.2011 в 16:08. Ответить с цитированием
  2. 08.12.2011 16:35 #2 Вако Специалист Репутация10 Регистрация 28.09.2011 Сообщений 299 Поблагодарил(а) 5 Получено благодарностей: 1 (сообщений: 1). Re: Безопасность PHP-скриптов Vbulletin 3.8.6. Версия содержала не менее 2 серьезных ошибок, позволяющих завладеть управлением форума.
    Вся линейка Vbulletin 3.*.* содержала не критическую ошибку, позволяющей без ведома владельца форума
    узнавать версию движка и впоследствии пользоваться этим для эксплуатации тех или иных критических
    ошибок на каждой версии. Там по моему, была серьезная уязвимость связанная с установкой аватарки. Можно было залить шелл воспользовавшись данной багой. Ответить с цитированием

  + Ответить в теме Быстрый переход Скрипты Вверх « Предыдущая тема | Следующая тема » Похожие темы
  1. В интернете появились сведения о 1,6 млн абонентов МТС, оператор винит спецслужбы от d1amant в разделе Операторы связи Ответов: 6 Последнее сообщение: 06.12.2011, 22:09
  2. Кто-нибудь сегодня юзает cgi скрипты? от optimizer в разделе Скрипты Ответов: 3 Последнее сообщение: 02.12.2011, 00:34
  3. Apple уволила главу по безопасности из-за плохой работы от Вако в разделе Новости Ответов: 0 Последнее сообщение: 07.11.2011, 11:02
  4. HTC опередил BlackBerry, на очереди Apple и Nokia от Вако в разделе Новости Ответов: 0 Последнее сообщение: 01.11.2011, 13:27
Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
Back to top Powered by vBulletin®
Copyright © 2012 vBulletin Solutions, Inc. All rights reserved.
Перевод: zCarot Текущее время: 01:57. Часовой пояс GMT +4.