پروتکل "phpinfo()" را اجرا کنید و خط را با دستور "open_basedir" بررسی کنید. با این دستور می توانید دایرکتوری پایه را برای همه کاربران تعریف کنید. پس از تنظیم این مقدار، آنها دیگر نمی توانند فایل های خارج از این پوشه ریشه یا زیر شاخه های آن، مانند "C:\Windows" را باز کنند.

اگر دایرکتوری های ساختاری دیگری دارید، با دستور www_root آنها را به عنوان دایرکتوری پایه تعریف کنید. با این حال، یک کاربر همچنین می تواند فایل های کاربر دیگر را بخواند و تغییر دهد. باید از این امر جلوگیری کرد.

متأسفانه، هیچ گزینه ای در فایل "php.ini" برای جلوگیری از دسترسی یک کاربر به داده های دیگری وجود ندارد.

اما یکی وجود دارد راه جالباگر PHP روی آپاچی اجرا می شود. در "phpinfo()" دو ستون خواهید یافت: "مقدار اصلی" و "مقدار محلی". اولین مقدار در "php.ini" است. دومی مقداری است که در حین کار سرور تعیین می شود.

اگر مقدار پایه از نظر عددی کوچک باشد، می توان آن را در اسکریپت با استفاده از دستور "ini_set ()" تغییر داد. این برای "open_basedir" صدق نمی کند زیرا این مقدار امنیتی حیاتی است و فقط توسط یک مدیر قابل تغییر است.

در آپاچی فایل پیکربندی"httpd.conf" را می توان در دایرکتوری با مقدار محلی "open_basedir" مشخص کرد.

سایر تنظیمات PHP

با تنظیم "disable_functions" در فایل "php.ini"، لازم است توابع بالقوه خطرناک را غیرفعال کنید.
در مورد هر اقدامی که انجام می دهید با دقت فکر کنید. غیرفعال کردن عملکرد به این معنی است که برخی از اسکریپت ها کار نمی کنند.

برخی از توابع واقعا خطرناک هستند و معمولاً برای اسکریپت مورد نیاز نیستند. دیگران - ممکن است برای اهداف خاصی لازم باشد. بنابراین، غیرفعال کردن همه ویژگی‌هایی که می‌توانند خطرناک باشند، آسان نیست، بلکه تصمیمات خود را به دقت سنجید.

باور نکنید که یک تابع "safe_mode = روشن" کافی خواهد بود. او می تواند برخی را غیرفعال کند ویژگی های مفیدو مشکل امنیتی که در بالا توضیح داده شد را حل نمی کند. حالت امندر PHP 5.3.0 منسوخ شده و در PHP 6.0.0 حذف شده است.

مسائل دفاعی

چندین اشتباه وجود دارد که یک توسعه دهنده وب می تواند مرتکب شود و یک وب سایت را ناامن کند.

به عنوان مثال، اگر وبلاگ خود را ایجاد می کنید و به کاربران اجازه می دهید تصاویر را آپلود کنند، زمانی که کد توسط یک مبتدی نوشته می شود، این می تواند یک خطر بزرگ باشد. اشتباهات متعددی وجود دارد که یک برنامه نویس می تواند در صفحه ورود و غیره مرتکب شود که یکی از رایج ترین آنها عدم ممنوعیت دانلود الگوریتم های مخرب است.

نکته مهم این است که یک سایت ناامن در هاست عمومی تهدیدی برای کل سرور است. همچنین نصب پروژه های متن باز مانند PHP-Nuke می تواند خطرناک باشد. چندین آسیب پذیری در چنین پروژه هایی قبلاً کشف شده است.

6 مارس 2015 در 00:43

ممیزی امنیت وب سایت - شناسایی خطرات و تهدیدها

  • امنیت اطلاعات

ممیزی امنیت سایت (بررسی سایت از نظر آسیب پذیری) - مجموعه ای از رویه ها با هدف اطمینان از عملکرد پایدارمنابع وب، امنیت داده ها و کاهش ریسک.

بر کسی پوشیده نیست که وضعیت اقتصادی اکنون قوانین جدیدی از جمله در رقابت را دیکته می کند. اگر قبلاً "جنگ فناوری" ، جاسوسی سایبری و اقدامات مخرب عمدتاً سهم شرکت های بزرگ یا کل دولت ها بود ، اکنون این روش ها با موفقیت در مشاغل کوچک و متوسط ​​استفاده می شود.

سایت های شرکت های آفلاین را فعلا کنار می گذاریم اما امروز در مورد وب سایت های تجاری صحبت می کنیم که درآمد اصلی آنها مربوط به فعالیت های اینترنتی است.

ممیزی امنیت سایت مجموعه ای از کارها برای شناسایی خطاها در کد سایت و نرم افزارسرورهایی که مهاجمان می توانند از آنها برای حمله و هک سایت استفاده کنند.

انگیزه استفاده شده توسط مهاجمان می تواند متفاوت باشد - هم لاف زدن و هم جستجوی منافع هم برای خودشان و هم از طریق کار برای یک "سفارش".

از آخرین نمونه های "پرمخاطب" - هک صرافی مستقل FL.ru



تصویری از پیام مهاجم از طرف یکی از مدیران

در اینجا، منبع به وضوح آسیب دیده است، وفاداری کاربر کاهش یافته است. جذب کاربران جدید ممکن است دشوار باشد: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
در نتیجه جستجو SERP های گوگلبه درخواست FL.RU، موضوع دوم در Habré در مورد تخلیه پایگاه کاربر است.

ممیزی امنیتی صرافی FL.RU چه می دهد - انتخاب رمزهای عبور برای حساب های مدیر منابع به شناسایی این موارد کمک می کند. حساب ها. توصیه ها و قوانین اضافی برای رعایت آنها به جلوگیری از چنین نظارت ناگواری کمک می کند. عدم محدودیت دسترسی به عملکردهای حیاتی (حساب های کاربر) از یک آدرس IP نامعتبر فقط وضعیت را تشدید کرد.

خطرات شهرت ناشی از هک کردن وب سایت شرکت به طور طبیعی بر سودآوری شرکت تأثیر می گذارد. اما خطر مستقیم سرقت اطلاعاتی که برای شرکت ارزشمند است نیز وجود دارد. وب سایت شرکت مربوط به فعالیت های آنلاین - فروشگاه آنلاین، صرافی الکترونیک و غیره. - ابزار اصلی برای کسب سود - اغلب شامل یک پایگاه داده مشتری است، اگر خدمات شامل کار طولانی مدت با مشتری، تکرار خرید و غیره باشد، ارزش بیشتری دارد.

همچنین دستکاری داده‌های پرداخت، تراکنش‌های متقلبانه در سیستم‌های واریز/برداشت یا سیستم‌های پرداخت می‌تواند آسیب بزرگی به شرکت وارد کند.

مهاجمانی که به سایت حمله می کنند به طور مشروط به دو نوع تقسیم می شوند:

1. ما هر چیزی را که دروغ می گوید بد می گیریم.

این نوع مهاجمان سعی می‌کنند به تعداد زیادی سایت دسترسی پیدا کنند، از تکنیک‌های بدوی، "نویز در گزارش‌ها" استفاده کنند. به طور معمول، چنین بازیگرانی سایت(ها) را با اسکنرهای آسیب پذیری محبوب اسکن می کنند یا به دنبال CMS های آسیب پذیر برای یک سوء استفاده خاص می گردند. آنها ممکن است در هر دو پایگاه کاربر و iframe پیش پا افتاده در به اصطلاح علاقه مند باشند. بسته بهره برداری


جستجوی همدستان برای ارتکاب جرم طبق ماده 273 قانون جزایی فدراسیون روسیه

ممیزی امنیتی برنامه وب به موقع به شناسایی اجزای آسیب پذیر و مناطق مشکل دار سایت کمک می کند. توصیه ها به شما کمک می کند تا برای دفع حملات هکرها آماده باشید.

2. به یک هدف خاص حمله می کنیم.

این نوع از مهاجمان معمولاً برای به دست آوردن داده های خاص یا از بین بردن آنها انگیزه دارند:



اطلاعیه ها در انجمن های "نزدیک هکر".

در این حالت، مهاجم خود را به روش های غیرفعال محدود نمی کند - به احتمال زیاد با استفاده از تمام ترکیب های ممکن از بردارهای حمله، تا زمانی که به نتیجه دلخواه برسد، به سایت حمله خواهد کرد.

یک ممیزی امنیتی جامع، که معمولاً شامل اقدامات زیر می‌شود، می‌تواند به افزایش چشمگیر امنیت یک سایت کمک کند:

  • جستجوی آسیب پذیری در اجزای سرور؛
  • جستجوی آسیب‌پذیری‌ها در محیط وب سرور؛
  • اجرای از راه دور کد دلخواه را بررسی کنید.
  • بررسی تزریقات (تزریق کد)؛
  • تلاش برای دور زدن سیستم احراز هویت منابع وب؛
  • بررسی یک منبع وب برای آسیب پذیری های "XSS" / "CSRF".
  • تلاش برای رهگیری حساب های دارای امتیاز (یا جلسات این حساب ها)؛
  • تلاش برای انجام گنجاندن فایل از راه دور / گنجاندن فایل محلی.
  • جستجو برای اجزای دارای آسیب پذیری شناخته شده؛
  • تغییر مسیرها به سایت های دیگر را بررسی کنید و ریدایرکت ها را باز کنید.
  • اسکن دایرکتوری ها و فایل ها با استفاده از brute force و "google hack"؛
  • تجزیه و تحلیل فرم های جستجو، فرم های ثبت نام، فرم های مجوز و غیره؛
  • بررسی منبع برای امکان دستیابی آشکار به اطلاعات محرمانه و سری؛
  • حملات کلاس شرایط مسابقه.
  • جاسازی موجودیت های XML؛
  • انتخاب رمزهای عبور

ممیزی امنیت سایت یک اقدام پیشگیرانه است که به شما امکان می دهد ارزیابی کافی از امنیت یک منبع شرکت داشته باشید. اطلاعات کاملدر مورد آسیب پذیری های یافت شده، سناریوهای احتمالیحملات و توصیه هایی برای از بین بردن آنها. این در واقع یک رویداد نیست، بلکه یک فرآیند مستمر برای تضمین امنیت فرآیندهای تجاری وب سایت شرکت، حفظ شهرت تجاری، رشد اقتصادی و توسعه کسب و کار است.

منتظر نمانید تا سایت شما توسط مهاجمان مورد حمله قرار گیرد - یک ممیزی امنیتی جامع وب سایت را از متخصصان سفارش دهید.

اخیراً اینترنت به زیستگاه اصلی ویروس ها تبدیل شده است ، زیرا فقط در آنجا می توانند به طور مؤثری انجام شوند انتشار دادندر رایانه های کاربر روزهایی که سیستم ها از طریق دیسک یا فلش کارت آلوده می شدند گذشته است. با افزایش تعداد اطلاعات دانلود شده، تعداد رایانه های آلوده افزایش یافته است، زیرا کاربران تهدید اینترنت را به عنوان چیزی انتزاعی و چیزی که آنها را تحت تأثیر قرار نمی دهد درک می کنند.

متاسفانه اینطور نیست. نادیده گرفتن اصول اولیه امنیت می تواند داده های ذخیره شده ما را به خطر بیندازد دیسکهای سخت. آلودگی رایانه های شرکت های بزرگ نشان دهنده شد ویروس باج افزار، که برای باز کردن قفل پول اخاذی می کرد و در غیر این صورت داده ها را رمزگذاری می کرد. بیشتر آنها به دلیل بی توجهی پیش پا افتاده دچار آن شدند.

پیشگیری از عفونت

اول از همه، شما باید از برنامه های ضد ویروس استفاده کنید. اکثر آنها توانمند هستند فیلترترافیک، پیشروی هشدارکاربران در مورد خطری که در کمین منبع در حال باز شدن است. زوج نسخه های رایگانمی تواند به طور قابل توجهی محافظت از رایانه شما را افزایش دهد.

دوم اینکه باید بری مرورگرها، که در آن تعبیه شده است بررسی وب سایت. آنها در مورد خطری که در یک سایت خاص در انتظار کاربران است هشدار می دهند. یکی از اینها - مرورگر Yandex. به طور پیش فرض در آن تعبیه شده است افزونه، اسکن سایت و محدود کردن دسترسی به منابع مخرب آشکار. اگر کاربر سعی کند به چنین صفحه ای دسترسی پیدا کند، هشداری در مورد خطر و پیشنهاد بستن برگه را مشاهده می کند.

سوم، تلاش کنید رد نشویددر پیوندهای مشکوک در شبکه های اجتماعی. خود Vkontakte هشدار می دهد که سایت می تواند خطرناک باشد، بنابراین توصیه های سرویس را نادیده نگیرید. بیشتر عفونت ها از این طریق اتفاق می افتد.

استفاده از گوگل برای تایید

این گزینه برای صاحبان سایت مناسب است که می خواهند مطمئن شوند که ساخته های آنها به کاربران آسیب نمی رساند. وب جهانی. اگر سایت متعلق به شما نیست، نمی توانید آن را از طریق موتورهای جستجو بررسی کنید.

برای شروع، بیایید به پنل مدیر وب سایت. در google.com/webmasters/tools/home واقع شده است (شما باید وارد سیستم شوید حساب کاربری گوگل). پس از آن، بر روی دکمه " کلیک کنید " اضافه کردن منبع” و لینک سایت را در کادر وارد کنید. پس از آن، دکمه " اضافه کردن».

پس از آن، ما نیاز خواهیم داشت تاییدحقوق سایت برای این باید قرار دهید قالب HTMLروی منبع تا گوگل بتواند ما را شناسایی کند. ما تمام اقدامات را از دستورالعمل ها انجام می دهیم و روی " کلیک می کنیم تایید».

پس از تایید، می توانیم تمام اطلاعات سایت خود را مشاهده کنیم. برای انجام این کار، برگه " مسائل امنیتی". در صورت وجود ویروس در صفحه، سیستم به ما اطلاع خواهد داد. در غیر این صورت شاهد چنین تصویری خواهیم بود.

Yandex برای بررسی ویروس ها

به طور کلی، در Yandex ما همان روشی را که در گوگل انجام می دهیم تکرار می کنیم:

دکتر وب و کسپرسکی

در اکثر موارد با بررسی سایت از طریق این دو سرویس می توانید 97% از ویروس نبودن سایت مطمئن شوید. این آزمایشگاه ها سال ها را به توسعه اختصاص داده اند برنامه های آنتی ویروسبنابراین دلیلی برای شک در صلاحیت آنها وجود ندارد. بیایید با دکتر وب شروع کنیم.

ما میرویمبه وب سایت رسمی vms.drweb.ru/online. علاوه بر بررسی ویروس ها، می توانید انتخاب گسترده ای را مشاهده کنید اطلاعاتدر مورد ویروس ها و انتشار آنها قسمت اصلی صفحه نوار آدرس در وسط است که در آن قرار دارد لینک را وارد کنیدبر روی منبع در حال بررسی و کلیک کنید " تأیید کنید».

بعد از مدتی خواهیم گرفت توصیف همراه با جزئیاتبررسی های انجام شده و همچنین نتیجه گیری در مورد خطر یا ایمنی صفحه.

کار" کسپرسکی' بر اساس همان اصل ساخته شده است. با این حال، در اینجا ما نیز می توانیم بررسی کنیم فایل ها. وارد URLدر نوار آدرس و کلیک کنید تایید کنید.

برخلاف سرویس قبلی، ما با جزئیات چک بارگذاری نمی‌شویم، اما بلافاصله نتیجه را می‌دهیم.

سایر خدمات آنلاین

علاوه بر مواردی که قبلاً در نظر گرفته شده است، خدمات دیگری برای بررسی پیوندها وجود دارد:


چگونه متوجه می شوید که سایتی که بازدید می کنید ایمن است؟ آیا خریدن چیزی روی آن خطرناک است و محتوای آن چقدر برای کودکان مناسب است؟

برای انجام این کار، آنتی ویروس های محبوب دارای یک سیستم رتبه بندی سایت داخلی هستند. اغلب، بر اساس رای خود کاربران کار می کند. یک سیستم مشابه، به عنوان مثال، در Avast وجود دارد امنیت اینترنت. اما یک "اما" کوچک وجود دارد - تقریباً تمام آنتی ویروس ها با عملکردهای مشابه پرداخت می شوند! و در نتیجه ماهیت پولی آنها، مخاطبان نسبتاً محدودی دارند، به این معنی که تعداد کمی از آنها در رتبه بندی ارزیابی سایت قرار می گیرند!

بنابراین راه حل بهتری برای خودم پیدا کردم. به آن Web Of Trust می گویند.

وب اعتماد خدمات رایگانارزیابی قابلیت اطمینان سایت

اصل عملیات

در واقع، این یک ابزار ویژه برای مرورگر است که پس از باز شدن، صفحه جدیدنزدیک نوار آدرسامتیاز خود را در قالب یک نشان رنگی نشان می دهد. (می توان آن را از سبز روشن تا قرمز روشن رنگ آمیزی کرد) و هر چه نشان سبزتر باشد (در صورت تمایل نشانگر قابل اعتماد بودن سایت)، سایت امن تر است. و برعکس - اگر نماد قرمز شد - مشکلی در این سایت وجود دارد ...

و با کلیک بر روی دکمه قرمز سمت راست آن را دانلود کنید. برای نصب افزونه در اینترنت اکسپلورر نیز یک دستورالعمل کوتاه در تصاویر پیوست خواهم کرد: