Найпопулярніше питаня до нас це “Як зробити, щоб нічого не робити, а сайт був супер-безпечний”, і постійно ми відповідали по різному максимально приховуючи АБСОЛЮТНО-СУПЕР-СЕКРЕТНУ технологію, що була розроблема століння назад. І лише сьогодні цім секретом поділимося ), тож якщо ви хочете створювати безпечний сайт, то ось 5 рекомендацій:
При програмуванні використовуйте фреймворки, типу ЗендФреймворка, КодеІгнайтера, Джанго, чи інших подібних. Використання фреймворків захищає вас від банальних помилок. Якщо говорити про Джанго, то в нім по замовчуванні є влаштований захист від майже всіх типів атак – SQL-inj, CSRF, XSS. Ці фреймворки написані великою кількістю розумних людей, тому помилок там дуже мало. Набагато менше, ніж якщо б ви цей функціонал писали самі.
Закривайте все по IP.
Закривайте все по IP.
Закривайте все по IP, якщо в вас є адмінка на сайті, то вхід до неї також закривайте по IP. Це дуже просто і супер надійно. Звичайно трішки “неудобства” добавить вам в зв’язку з необхідністю використуванням VPN коли не з основного місця працюєте, але це того варте. Наприклад, якщо зловмисник навіть дізнається адмінський пароль, то він абсолютно нічого не зможе зробити. Це просто реалізується в усіх веб-серверах, а я юзаю nginx, і в нім в конфігі є такі рядки:
І знову – закривайте все по IP, якщо в вас є MySQL, FTP і все інше, то все це закривайте файрволом. На сервак повинен бути доступ з будь якого IP лише до ssh з сертифікатом і великим паролем.
Оце і всі ті основні правила, що ви повинні знати і їх використовувати. Звичайно в цім ділі багато інших ньюансів, і якщо вам потрібно надійно захистити свій сайт – то звяжіться з професіоналами в цій сфері.
Вже інвайти Dimi4 я гадаю всім роздав на Google Wave і всім цікаво там полазити, покалацати. Хоча багато будуть напевно розчаровані, бо маркетологи Гугла розказували що це буде “вбивця” майже всього інтернету. Хоча насправді Вейв, то звичайна IRC в вебі з прикольним API.
Раніше вся наша команда активно користувался IRC(крім мене – я в іркі повний нуль), а зараз всю нашу активність по обговоренню проблем перенесли саме до Вейву. Хоча деяких фішок не вистачає, ось наприклад хотілося б щоб пошта повязана з прийомом заявок до складу UASC приходила саме до Вейву. Тож довелося писати свого робота, що не складно. Досить почитати документацію від Гугла, а потім читати “ісходники” вже написаних роботів і тестувати, тестувати і ще раз тестувати. В результаті вийшов робот, що всю отриману пошту спочатку зберігає в базу данних. А потім при кроні від Вейву(який зараз нестабільно працює), а також при збереженню повідомлення – бере з бази всі емайли і постить в Вейві. Також додана перевірка, що якщо хтось додасть бота собі, то він наших емайлів не отримає. Весь код можете глянути тут http://bitbucket.org/presidentua/mail-wave-robot/src/. Read more…
Збулася моя мрія, і в цьому місяці з допомоги Хаханова Володимира Івановича я буду проводити в Харківському Національному Університеті Радіоелектроніки 8 лекцій по безпеці:
Технологическая культура против хакерского мира
1. Введения в хакерский мир. Структура, иерархия хакерского мира.
Общее рассмотрение всех отраслей хакинга.
2. Почта. Уязвимости почтовых протоколов. Е-майл спам. Монетизация
е-майл спама. Написания скриптов для спама. Способы защиты.
3. Социальные сети. Веб-спам. Монетизация веб-спама. Капча и
антикапча. Написание автореггеров. Способы защиты.
4. Социальная инженерия. Практическое применения. Фейк. Практика
создания фейка. Способы защиты.
5. Ботнет сети. Способы создания. Монетизация. Текущий рынок ботнет
сетей. Создание идеальной ботнет-сети.
6. Троянские программы. Создание. Криптовка. Обход антивирусов.
7. Веб-безопасность. Виды уязвимостей сайтов. Рассмотрение уязвимостей
вида XSS, Inlude, SQL-inj и других. Способы их устранения.
8. Взлом и банковская информация. Кредитные карты. Скимеры. Способы защиты.
Тож якщо ви студент з Харкова і є бажання послухати лекції, то ласкаво просимо – для цього лише потрібно відіслати маленький лист – подробиці на http://tutamc.com/node/224.
Проводити тестування на вразливості можна або просто, або мудро. Просто це вручну пишучи, наприклад, кавички скрізь. А по мудрому – це один раз написати скрипт, а потім він автоматично буде тестувати замість вас. І коли ми берем сайти на аудит, то коли ми більшість багів якраз знаходимо автоматичними тулзами.
Але сьогодні не про хак поговорим, а про бекап. Бекап – це ідеальне спасіння після хакерів . Отже в такій штучкі як DirectAdmin є функції для створення бекапів, і дозвольте показати вам маленький скрипт, що можна поставити в крон на ніч, і він буде постійно замість вас створювати бекапи: Read more…
. Отже в такій штучкі як DirectAdmin є функції для створення бекапів, і дозвольте показати вам маленький скрипт, що можна поставити в крон на ніч, і він буде постійно замість вас створювати бекапи:
Останні коментарі