Нещодавно мною були виявленні численні вразливості на сайті top.blog.net.ua. В той же день про це була повідомлена адміністрація проекту, але, нажаль відповіді я так і не отримав. Сподіваюсь цей пост спонукає їх виправити вразливості. А тепер блище до справи.
Що треба щоб бути в топі?
UA TOP Bloggers визначає позиції сайту за такими показниками:
- Кількість хостів (унікальні користувачі)
- Кількіст хітів (кількість переглядів)
Розглянемо як система реєструє ці дані. Від нас вимагають встановити код кнопки на сайті. Логічно що через нього і проводиться підрахунок. Поглянемо на код:
Все зрозуміло – картинка генерується скриптом, якому передаються 2 параметри: in,id. Id це і є номер нашого сайту.
Read more…
В журналі “][акер" #134 2010 р. вийшла моя стаття "GOV сайты под угрозой". Далі оригінал статті на російській мові.
GOV сайты под угрозой
Read more…
Найпопулярніше питаня до нас це “Як зробити, щоб нічого не робити, а сайт був супер-безпечний”, і постійно ми відповідали по різному максимально приховуючи АБСОЛЮТНО-СУПЕР-СЕКРЕТНУ технологію, що була розроблема століння назад. І лише сьогодні цім секретом поділимося ), тож якщо ви хочете створювати безпечний сайт, то ось 5 рекомендацій:
- При програмуванні використовуйте фреймворки, типу ЗендФреймворка, КодеІгнайтера, Джанго, чи інших подібних. Використання фреймворків захищає вас від банальних помилок. Якщо говорити про Джанго, то в нім по замовчуванні є влаштований захист від майже всіх типів атак – SQL-inj, CSRF, XSS. Ці фреймворки написані великою кількістю розумних людей, тому помилок там дуже мало. Набагато менше, ніж якщо б ви цей функціонал писали самі.
- Закривайте все по IP.
- Закривайте все по IP.
- Закривайте все по IP, якщо в вас є адмінка на сайті, то вхід до неї також закривайте по IP. Це дуже просто і супер надійно. Звичайно трішки “неудобства” добавить вам в зв’язку з необхідністю використуванням VPN коли не з основного місця працюєте, але це того варте. Наприклад, якщо зловмисник навіть дізнається адмінський пароль, то він абсолютно нічого не зможе зробити. Це просто реалізується в усіх веб-серверах, а я юзаю nginx, і в нім в конфігі є такі рядки:
location /admin/ {
allow 127.0.0.1;
deny all;
...
}
- І знову – закривайте все по IP, якщо в вас є MySQL, FTP і все інше, то все це закривайте файрволом. На сервак повинен бути доступ з будь якого IP лише до ssh з сертифікатом і великим паролем.
Оце і всі ті основні правила, що ви повинні знати і їх використовувати. Звичайно в цім ділі багато інших ньюансів, і якщо вам потрібно надійно захистити свій сайт – то звяжіться з професіоналами в цій сфері.
Останні коментарі