Spusťte protokol "phpinfo()" a zkontrolujte řádek pomocí příkazu "open_basedir". Pomocí tohoto příkazu můžete definovat základní adresář pro všechny uživatele. Po nastavení této hodnoty již nebudou moci otevírat soubory mimo tuto kořenovou složku nebo její podadresáře, například "C:\Windows".
Máte-li další strukturální adresáře, definujte je jako základní adresář pomocí příkazu "www_root". Jeden uživatel však také bude moci číst a upravovat soubory jiného uživatele. Tomu je třeba zabránit.
Bohužel v souboru "php.ini" nejsou žádné možnosti, jak zabránit jednomu uživateli v přístupu k datům druhého.
Ale je tu jeden zajímavým způsobem pokud PHP běží na Apache. V "phpinfo()" najdete dva sloupce: "Hlavní hodnota" a "Místní hodnota". První je hodnota v "php.ini". Druhá je hodnota, která se určuje během provozu serveru.
Pokud je základní hodnota malá v číselném vyjádření, lze ji ve skriptu změnit pomocí příkazu "ini_set ()". To neplatí pro "open_basedir", protože tato hodnota je kritická pro zabezpečení a může ji změnit pouze správce.
V Apache konfigurační soubor"httpd.conf" lze zadat v adresáři pod místní hodnotou "open_basedir".
Další nastavení PHP
Nastavením "disable_functions" v souboru "php.ini" je nutné zakázat funkce, které jsou potenciálně nebezpečné.
Pečlivě si promyslete každou akci, kterou podniknete. Vypnutí funkce znamená, že některé skripty přestanou fungovat.
Některé funkce jsou opravdu nebezpečné a pro skriptování se obvykle nevyžadují. Jiné – mohou být pro určité účely nezbytné. Proto není snadné deaktivovat všechny funkce, které mohou být nebezpečné, ale také pečlivě zvážit svá rozhodnutí.
Nevěřte, že jedna funkce "safe_mode = On" bude stačit. Některé může deaktivovat užitečné funkce a neřeší výše popsaný bezpečnostní problém. Nouzový režim zastaralé v PHP 5.3.0 a odstraněny v PHP 6.0.0.
Otázky obrany
Existuje několik chyb, kterých se může webový vývojář dopustit a způsobit, že web bude nezabezpečený.
Pokud například vytváříte svůj blog a umožňujete uživatelům nahrávat obrázky, může to být velké nebezpečí, když kód píše začátečník. Existuje několik chyb, kterých se může programátor dopustit na přihlašovací stránce atd. Jednou z nejčastějších je absence zákazu stahování škodlivých algoritmů.
Důležité je, že jeden nezabezpečený web na veřejném hostingu je hrozbou pro celý server. Také instalace Open Source projektů jako PHP-Nuke může být riskantní. V takových projektech již bylo objeveno několik zranitelností.
6. března 2015 v 00:43Bezpečnostní audit webu – identifikace rizik a hrozeb
- Informační bezpečnost
Bezpečnostní audit webu (kontrola zranitelnosti webu) – série postupů zaměřených na zajištění stabilní provoz webové zdroje, zabezpečení dat a snížení rizik.
Není žádným tajemstvím, že ekonomická situace nyní diktuje nová pravidla, a to i v oblasti hospodářské soutěže. Jestliže dříve byla „válka technologií“, kybernetická špionáž a destruktivní akce údělem především velkých korporací nebo celých států, nyní se tyto metody poměrně úspěšně používají v malých a středních podnicích.
Offline firemní stránky ponechme zatím stranou a dnes si povíme něco o komerčních webech, jejichž hlavní příjem souvisí s internetovými aktivitami.
Audit zabezpečení webu je soubor prací k identifikaci chyb v kódu webu a software servery, které mohou útočníci použít k napadení a hacknutí webu.
Motivace útočníků může být různá – jde jak o vychloubání, tak o hledání výhod jak pro sebe osobně, tak i prací na „zakázku“.
Z nejnovějších "high-profile" příkladů - hackování burzy na volné noze FL.ru
snímek obrazovky se zprávou útočníka jménem jednoho z administrátorů
Zde zdroj jasně utrpěl poškození reputace, loajalita uživatelů byla snížena. Nové uživatele může být obtížné přilákat: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
V důsledku pátrání GOOGLE SERPs na žádost FL.RU je druhé téma na Habré o odčerpávání uživatelské základny.
Co by dal bezpečnostní audit burzy FL.RU - výběr hesel pro účty správců zdrojů by je pomohl identifikovat Účty. Dodatečná doporučení a pravidla pro jejich dodržování by pomohla takovému nešťastnému nedopatření předejít. Chybějící omezení přístupu ke kritickým funkcím (uživatelským účtům) z nedůvěryhodné IP adresy situaci jen zhoršilo.
Reputační rizika spojená s hackováním webových stránek společnosti přirozeně ovlivní ziskovost společnosti. Hrozí ale také přímo krádež dat, která jsou pro firmu cenná. Webové stránky společnosti spojené s online aktivitami - internetový obchod, elektronická burza atd. - hlavní nástroj pro vytváření zisku - často obsahuje databázi zákazníků, o to cennější, pokud je součástí služby dlouhodobá práce s klientem, opakované nákupy a podobně.
Také manipulace s platebními údaji, podvodné transakce v systémech vkladů/výběrů nebo platebních systémů mohou společnosti způsobit velké škody.
Útočníky útočící na web lze podmíněně rozdělit do dvou typů:
1. Všechno, co lže, bereme špatně.
Tento druh útočníků se snaží získat přístup k velkému počtu stránek, používají primitivní techniky, „šum v protokolech“. Obvykle tito aktéři skenují stránky pomocí oblíbených skenerů zranitelnosti nebo hledají zranitelné CMS pro konkrétní zneužití. Mohou je zajímat jak uživatelská základna, tak banální iframe na tzv. exploit-pack.
pátrání po spolupachatelích ke spáchání trestného činu podle článku 273 trestního zákoníku Ruské federace
Včasný audit zabezpečení webových aplikací pomůže identifikovat zranitelné součásti a problémové oblasti webu. Doporučení vám pomohou být připraveni odrazit útoky hackerů.
2. Útočíme na konkrétní cíl.
Tyto typy útočníků jsou obvykle motivovány získat určitá data nebo je zničit:
oznámení na „near-hacker“ fórech
Útočník se v tomto případě neomezí pouze na pasivní metody – s největší pravděpodobností bude na web útočit, dokud nedosáhne požadovaného výsledku, a to za použití všech možných kombinací útočných vektorů.
Komplexní bezpečnostní audit, který obvykle zahrnuje následující akce, může pomoci výrazně zvýšit zabezpečení webu:
- Hledání zranitelností v komponentách serveru;
- Hledání zranitelností ve webovém prostředí serveru;
- Zkontrolujte vzdálené spuštění libovolného kódu;
- Kontrola injekcí (vkládání kódu);
- Pokusy obejít systém ověřování webových zdrojů;
- Kontrola webového zdroje na zranitelnost „XSS“ / „CSRF“;
- Pokusy o zachycení privilegovaných účtů (nebo relací takových účtů);
- Pokusy o provedení vzdáleného zahrnutí souboru / zahrnutí místního souboru;
- Vyhledávání komponent se známými zranitelnostmi;
- Zkontrolujte přesměrování na jiné stránky a otevřete přesměrování;
- Skenování adresářů a souborů pomocí hrubé síly a „google hack“;
- Analýza vyhledávacích formulářů, registračních formulářů, autorizačních formulářů atd.;
- Kontrola zdroje pro možnost otevřeného získávání důvěrných a tajných informací;
- Útoky třídy rasové kondice;
- Vkládání entit XML;
- Výběr hesel.
Audit zabezpečení webu je proaktivní opatření, které vám umožní získat adekvátní posouzení bezpečnosti firemního zdroje, úplné informace o nalezených zranitelnostech, možné scénářeútoků a doporučení k jejich odstranění. Ve skutečnosti se nejedná o událost, ale o nepřetržitý proces k zajištění bezpečnosti obchodních procesů webových stránek společnosti, udržení obchodní pověsti, hospodářského růstu a rozvoje podnikání.
Nečekejte, až váš web napadnou vetřelci – objednejte si komplexní audit zabezpečení webu u profesionálů.
V poslední době se internet stal hlavním prostředím pro viry, protože pouze tam mohou efektivně rozpětí na uživatelských počítačích. Pryč jsou doby, kdy byly systémy infikovány prostřednictvím disků nebo flash karet. S nárůstem množství stahovaných informací se zvýšil počet infikovaných počítačů, protože uživatelé vnímají hrozbu z internetu jako něco abstraktního a co se jich netýká.
Bohužel tomu tak není. Zanedbání základů zabezpečení může ohrozit naše data uložená na pevné disky. Infekce počítačů velkých korporací se staly indikativními ransomware virus, která vymáhala peníze za odblokování, a jinak šifrovala data. Většina z nich se nakazila kvůli banální nepozornosti.
Prevence infekce
V první řadě je potřeba používat antivirové programy. Většina z nich je schopná filtr provoz, předstih Varování uživatelů o nebezpečí číhajícím na otevíraném zdroji. Dokonce bezplatné verze může výrazně zvýšit ochranu vašeho počítače.
Za druhé, měli byste jít do prohlížeče, ve kterém je zasazeno kontrola webu. Varují před nebezpečím, které na uživatele na konkrétní stránce číhá. Jeden z těchto - Prohlížeč Yandex. Ve výchozím nastavení je v něm zabudováno zapojit, skenování webu a omezení přístupu k upřímně škodlivým zdrojům. Pokud se uživatel pokusí o přístup na takovou stránku, zobrazí se mu upozornění na nebezpečí a návrh na uzavření karty.
Za třetí, zkuste to nepřecházej na podezřelé odkazy sociální sítě. Samotný Vkontakte varuje, že web může být nebezpečný, takže nezanedbávejte rady služby. Většina infekcí probíhá tímto způsobem.
Ověření pomocí Googlu
Tato možnost je vhodná pro majitele stránek, kteří se chtějí ujistit, že jejich výtvory nepoškozují uživatele. Celosvětová Síť. Pokud vám stránka nepatří, nebudete ji moci zkontrolovat prostřednictvím vyhledávačů.
Pro začátek pojďme na panel webmastera. Nachází se na adrese google.com/webmasters/tools/home (musíte být přihlášeni do svého účet Google). Poté klikněte na tlačítko " Přidat zdroj“ a do pole zadejte odkaz na web. Poté stiskněte " Přidat». 
Poté budeme potřebovat potvrdit práva webu. K tomu musíte umístit HTML šablona na zdroji, aby nás Google mohl identifikovat. Provádíme všechny akce z pokynů a klikněte na " Potvrdit». 
Po potvrzení můžeme vidět všechny informace o našem webu. Chcete-li to provést, vyberte kartu " Bezpečnostní problémy". Pokud jsou na stránce viry, systém nás na to upozorní. Pokud ne, uvidíme takový obrázek. 
Yandex pro kontrolu virů
Celkově v Yandexu opakujeme stejný postup jako v Google:
Doctor Web a Kaspersky
Kontrolou webu prostřednictvím těchto dvou služeb si můžete být z 97 % jisti, že web neobsahuje viry. Tyto laboratoře věnovaly roky vývoji antivirové programy takže není důvod pochybovat o jejich způsobilosti. Začněme s Doctor Web.
Jdeme na oficiální webové stránky vms.drweb.ru/online. Kromě kontroly virů si můžete prohlédnout rozsáhlý výběr informace o virech a jejich šíření. Hlavní částí stránky je adresní řádek uprostřed, do kterého zadejte odkaz na kontrolovaném zdroji a klikněte na " Ověřte». 
Po chvíli se dostaneme Detailní popis provedené kontroly a také závěr o nebezpečnosti nebo bezpečnosti stránky. 
práce" Kaspersky“ je postaven na stejném principu. Zde však můžeme také zkontrolovat soubory. Vstupte URL v adresním řádku a klikněte ověřit.
Na rozdíl od předchozí služby nejsme zatíženi detaily kontroly, ale okamžitě dáváme výsledek. 
Další online služby
Kromě těch, které již byly zvažovány, existují další služby pro kontrolu odkazů:
Jak poznáte, že je stránka, kterou navštěvujete, bezpečná? Je riskantní na něm něco kupovat a jak je jeho obsah vhodný pro děti?
K tomu mají oblíbené antiviry vestavěný systém hodnocení stránek. Nejčastěji to funguje na základě hlasování samotných uživatelů. Podobný systém je například v Avastu internetová bezpečnost. Je tu ale jedno malé „ale“ – téměř všechny antiviry s podobnými funkcemi jsou placené! A díky své placené povaze mají poměrně omezené publikum, což znamená, že jen malý počet z nich se dostane do hodnocení hodnocení stránek!
Tak jsem pro sebe našel lepší řešení. Jmenuje se Web Of Trust.
Web důvěry bezplatná služba posouzení spolehlivosti lokality.
Princip činnosti
Ve skutečnosti se jedná o speciální gadget pro prohlížeč, který po otevření nová stránka u adresní řádek zobrazuje své hodnocení ve formě barevného znaku. (Může být zbarven od jasně zelené po jasně červenou) A čím zelenější je znak (indikátor důvěryhodnosti stránky, chcete-li), tím je stránka bezpečnější. A naopak - pokud ikona zčervená - s tímto webem není něco v pořádku ...
A stáhněte si jej kliknutím na červené tlačítko vpravo. Přikládám také krátký návod na obrázcích pro instalaci pluginu v Internet Exploreru:
