"phpinfo()" 프로토콜을 실행하고 "open_basedir" 명령으로 라인을 확인하십시오. 이 명령을 사용하여 모든 사용자의 기본 디렉토리를 정의할 수 있습니다. 이 값을 설정한 후에는 "C:\Windows"와 같은 이 루트 폴더 또는 해당 하위 디렉터리 외부에 있는 파일을 더 이상 열 수 없습니다.
다른 구조적 디렉토리가 있는 경우 "www_root" 명령을 사용하여 기본 디렉토리로 정의하십시오. 그러나 한 사용자는 다른 사용자의 파일을 읽고 수정할 수도 있습니다. 이것은 방지되어야 합니다.
불행히도 "php.ini" 파일에는 한 사용자가 다른 사용자의 데이터에 액세스하는 것을 방지할 수 있는 옵션이 없습니다.
하지만 하나가 있다 흥미로운 방법 PHP가 Apache에서 실행 중인 경우. "phpinfo()"에는 "Main Value"와 "Local Value"라는 두 개의 열이 있습니다. 첫 번째는 "php.ini"의 값입니다. 두 번째는 서버 운용 시 결정되는 값이다.
기준 값이 수치적으로 작으면 "ini_set()" 명령을 사용하여 스크립트에서 변경할 수 있습니다. 이 값은 보안에 중요하고 관리자만 변경할 수 있기 때문에 "open_basedir"에는 적용되지 않습니다.
아파치에서 구성 파일"httpd.conf"는 로컬 값 "open_basedir" 아래의 디렉토리에 지정할 수 있습니다.
기타 PHP 설정
"php.ini" 파일에서 "disable_functions"를 설정하여 잠재적으로 위험한 기능을 비활성화해야 합니다.
당신이 취하는 모든 행동에 대해 신중하게 생각하십시오. 기능을 비활성화하면 일부 스크립트의 작동이 중지됩니다.
일부 기능은 실제로 위험하며 일반적으로 스크립팅에 필요하지 않습니다. 기타 - 특정 목적에 필요할 수 있습니다. 따라서 위험할 수 있는 모든 기능을 비활성화하는 것은 쉽지 않지만 신중하게 결정을 내려야 합니다.
"safe_mode = On" 기능 하나로 충분하다고 생각하지 마십시오. 그녀는 일부를 비활성화 할 수 있습니다 유용한 기능위에서 설명한 보안 문제를 해결하지 마십시오. 안전 모드 PHP 5.3.0에서 더 이상 사용되지 않으며 PHP 6.0.0에서 제거되었습니다.
국방 문제
웹 개발자가 웹사이트를 불안정하게 만들 수 있는 몇 가지 실수가 있습니다.
예를 들어 블로그를 만들고 사용자가 이미지를 업로드하도록 허용하는 경우 초보자가 코드를 작성할 때 이는 큰 위험이 될 수 있습니다. 프로그래머가 로그인 페이지 등에서 범할 수 있는 몇 가지 실수가 있습니다. 가장 일반적인 것 중 하나는 악성 알고리즘 다운로드에 대한 금지가 없다는 것입니다.
중요한 점은 공개 호스팅의 안전하지 않은 사이트 하나가 전체 서버에 위협이 된다는 것입니다. 또한 PHP-Nuke와 같은 오픈 소스 프로젝트를 설치하는 것은 위험할 수 있습니다. 이러한 프로젝트에서 여러 취약점이 이미 발견되었습니다.
2015년 3월 6일 00:43웹사이트 보안 감사 - 위험 및 위협 식별
- 정보 보안
사이트 보안 감사(사이트의 취약점 확인) - 다음을 보장하기 위한 일련의 절차 안정적인 작동웹 리소스, 데이터 보안 및 위험 감소.
현재 경제 상황이 경쟁을 포함하여 새로운 규칙을 요구하고 있다는 것은 비밀이 아닙니다. 초기의 "기술 전쟁"이 사이버 스파이 활동과 파괴 행위가 주로 대기업이나 국가 전체에 있었다면 이제는 이러한 방법이 중소기업에서 성공적으로 사용됩니다.
일단 오프라인 회사 사이트는 잠시 접어두고 오늘은 주로 인터넷 활동과 관련된 상업 사이트에 대해 알아보겠습니다.
사이트 보안 감사는 사이트 코드의 오류를 식별하고 소프트웨어공격자가 사이트를 공격하고 해킹하는 데 사용할 수 있는 서버.
공격자가 사용하는 동기는 다를 수 있습니다. 그것은 자랑스럽고 개인적으로 그리고 "명령"을 위해 일함으로써 이익을 추구하는 것입니다.
최신 "유명한"예에서 - 프리랜서 교환 FL.ru 해킹
관리자 중 한 명을 대신하는 공격자의 메시지 스크린샷
여기에서 리소스는 분명히 평판 손상을 입었고 사용자 충성도가 감소했습니다. 신규 사용자를 유치하기 어려울 수 있습니다. www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
검색한 결과 GOOGLE SERP FL.RU의 요청에 따라 두 번째는 사용자 기반 배수에 대한 Habré의 주제입니다.
FL.RU 교환의 보안 감사는 무엇을 제공합니까? 리소스 관리자 계정에 대한 암호를 선택하면 이러한 암호를 식별하는 데 도움이 됩니다. 계정. 준수에 대한 추가 권장 사항 및 규칙은 그러한 불행한 실수를 피하는 데 도움이 될 것입니다. 신뢰할 수 없는 IP 주소에서 중요한 기능(사용자 계정)에 대한 액세스 제한이 없다는 것은 상황을 악화시켰습니다.
회사 웹사이트 해킹에 따른 평판 리스크는 자연스럽게 회사의 수익성에 영향을 미치게 됩니다. 그러나 회사에 중요한 데이터 도난의 직접적인 위협도 있습니다. 온라인 활동과 관련된 회사의 웹사이트 - 온라인 상점, 전자 거래소 등 - 수익 창출을 위한 주요 도구 - 종종 고객 데이터베이스가 포함되며, 서비스에 고객과의 장기적인 작업, 반복 구매 등이 포함되는 경우 더욱 가치가 있습니다.
또한, 결제 데이터의 조작, 입출금 시스템 또는 결제 시스템의 부정 거래는 회사에 큰 피해를 줄 수 있습니다.
사이트를 공격하는 공격자는 조건부로 두 가지 유형으로 나눌 수 있습니다.
1. 우리는 나쁜 거짓말을 모두 받아들입니다.
이러한 종류의 공격자는 많은 수의 사이트에 대한 액세스 권한을 얻으려고 시도하고 원시 기술인 "로그의 노이즈"를 사용합니다. 일반적으로 이러한 행위자는 널리 사용되는 취약점 스캐너로 사이트를 스캔하거나 특정 익스플로잇에 대해 취약한 CMS를 찾습니다. 그들은 사용자 기반과 소위 말하는 평범한 iframe 모두에 관심이 있을 수 있습니다. 익스플로잇 팩.
러시아 형법 제 273 조에 따라 범죄를 저지르는 공범자를 수색
시기 적절한 웹 애플리케이션 보안 감사는 사이트의 취약한 구성 요소와 문제 영역을 식별하는 데 도움이 됩니다. 권장 사항은 해커 공격을 물리칠 준비를 하는 데 도움이 됩니다.
2. 특정 타겟을 공격합니다.
이러한 유형의 공격자는 일반적으로 특정 데이터를 얻거나 파괴하도록 동기를 부여합니다.
"near-hacker" 포럼에 대한 공지
이 경우 공격자는 수동적인 방법으로 자신을 제한하지 않습니다. 가능한 모든 공격 벡터 조합을 사용하여 원하는 결과를 얻을 때까지 사이트를 공격할 가능성이 큽니다.
일반적으로 다음 작업을 포함하는 포괄적인 보안 감사는 사이트의 보안을 크게 향상시키는 데 도움이 될 수 있습니다.
- 서버 구성 요소의 취약점 검색
- 서버의 웹 환경에서 취약점을 검색합니다.
- 임의 코드의 원격 실행을 확인하십시오.
- 주입 확인(코드 주입)
- 웹 리소스 인증 시스템을 우회하려고 시도합니다.
- "XSS" / "CSRF" 취약점에 대한 웹 리소스 확인
- 권한 있는 계정(또는 그러한 계정의 세션)을 가로채려는 시도
- 원격 파일 포함/로컬 파일 포함을 수행하려고 시도합니다.
- 알려진 취약점이 있는 구성 요소를 검색합니다.
- 다른 사이트로의 리디렉션을 확인하고 리디렉션을 엽니다.
- 무차별 대입 및 "google hack"을 사용하여 디렉토리 및 파일 스캔;
- 검색 양식, 등록 양식, 승인 양식 등의 분석
- 기밀 및 비밀 정보를 공개적으로 얻을 수 있는 가능성에 대한 리소스 확인
- 경쟁 조건 클래스 공격;
- XML 엔터티 포함
- 비밀번호 선택.
사이트 보안 감사는 회사 리소스의 보안에 대한 적절한 평가를 얻을 수 있도록 하는 사전 조치입니다. 전체 정보발견된 취약점에 대해 가능한 시나리오공격 및 제거 권장 사항. 이것은 실제로 이벤트가 아니라 회사 웹 사이트의 비즈니스 프로세스 보안을 보장하고 비즈니스 평판, 경제 성장 및 비즈니스 개발을 유지하기 위한 지속적인 프로세스입니다.
사이트가 침입자의 공격을 받을 때까지 기다리지 마십시오. 전문가에게 포괄적인 웹사이트 보안 감사를 주문하십시오.
최근 인터넷은 바이러스의 주요 서식지가 되었습니다. 확산사용자 컴퓨터에서. 시스템이 디스크나 플래시 카드를 통해 감염되던 시대는 지났습니다. 다운로드되는 정보의 양이 증가함에 따라 사용자가 인터넷의 위협을 추상적이고 영향을 미치지 않는 것으로 인식함에 따라 감염된 컴퓨터의 수가 증가했습니다.
불행히도 그렇지 않습니다. 보안의 기본을 무시하면 저장된 데이터가 손상될 수 있습니다. 하드 드라이브. 대기업 컴퓨터 감염 징후가 됐다 랜섬웨어 바이러스, 잠금 해제를 위해 돈을 갈취하고 데이터를 암호화했습니다. 그들 대부분은 평범한 부주의로 인해 계약했습니다.
감염 예방
우선 바이러스 백신 프로그램을 사용해야 합니다. 대부분은 능력자 필터교통, 전진 경고열려 있는 리소스에 도사리고 있는 위험에 대해 사용자에게 알립니다. 조차 무료 버전컴퓨터의 보호를 크게 향상시킬 수 있습니다.
둘째, 당신은 가야합니다 브라우저, 포함된 웹사이트 확인. 특정 사이트에서 사용자를 기다리는 위험에 대해 경고합니다. 이 중 하나 - 얀덱스 브라우저. 기본적으로 내장 플러그인, 사이트를 스캔하고 솔직히 악성 리소스에 대한 액세스를 제한합니다. 사용자가 이러한 페이지에 액세스하려고 하면 위험에 대한 경고와 탭을 닫으라는 제안이 표시됩니다.
세 번째, 시도 건너지 마의심스러운 링크에 소셜 네트워크에서. Vkontakte 자체는 사이트가 위험할 수 있다고 경고하므로 서비스의 조언을 무시하지 마십시오. 대부분의 감염은 이런 식으로 발생합니다.
Google을 사용하여 확인
이 옵션은 자신의 창작물이 사용자에게 피해를 주지 않도록 하려는 사이트 소유자에게 적합합니다. 월드 와이드 웹. 사이트가 귀하의 소유가 아닌 경우 검색 엔진을 통해 확인할 수 없습니다.
시작하려면 다음으로 이동합니다. 웹마스터 패널. google.com/webmasters/tools/home에 있습니다. 구글 계정). 그런 다음 버튼을 클릭하십시오 " 리소스 추가"를 입력하고 상자에 사이트 링크를 입력합니다. 그 후 "를 누르십시오. 추가하다». 
그 후에 우리는 필요합니다 확인하다사이트 권리. 이를 위해 당신은 배치해야합니다 HTML 템플릿 Google이 우리를 식별할 수 있도록 리소스에 표시합니다. 지침의 모든 작업을 수행하고 " 확인하다». 
확인 후 사이트에 대한 모든 정보를 볼 수 있습니다. 이렇게 하려면 " 보안 문제들". 페이지에 바이러스가 있으면 시스템에서 이에 대해 알려줍니다. 그렇지 않다면 우리는 그러한 그림을 보게 될 것입니다. 
바이러스를 확인하는 Yandex
대체로 Yandex에서는 Google과 동일한 절차를 반복합니다.
닥터 웹과 카스퍼스키
대부분의 경우 이 두 서비스를 통해 사이트를 확인하면 해당 사이트에 바이러스가 없는지 97% 확신할 수 있습니다. 이 실험실은 개발에 수년을 바쳤습니다. 바이러스 백신 프로그램따라서 그들의 능력을 의심할 이유가 없습니다. Doctor Web부터 시작하겠습니다.
우리는 간다공식 웹 사이트 vms.drweb.ru/online. 바이러스 검사 외에도 광범위한 선택을 볼 수 있습니다. 정보바이러스와 그 확산에 대해. 페이지의 주요 부분은 중간에 있는 주소 표시줄로, 링크를 입력확인 중인 리소스에서 " 확인하다». 
잠시 후 우리는 얻을 것이다 상세 설명페이지의 위험 또는 안전에 대한 결론뿐만 아니라 수행된 검사. 
일하다 " 카스퍼스키'와 같은 원리로 만들어진다. 그러나 여기에서도 확인할 수 있습니다. 파일. 입력하다 URL주소 표시줄에 클릭하고 확인하다.
이전 서비스와 달리 검사 내용을 로드하지 않고 즉시 결과를 제공합니다. 
기타 온라인 서비스
이미 고려한 서비스 외에도 링크 확인을 위한 다른 서비스가 있습니다.
방문하는 사이트가 안전한지 어떻게 알 수 있습니까? 에서 무언가를 사는 것은 위험합니까? 그리고 그 내용은 어린이에게 얼마나 적합합니까?
이를 위해 인기 있는 바이러스 백신에는 사이트 등급 시스템이 내장되어 있습니다. 대부분의 경우 사용자 자신의 투표를 기반으로 작동합니다. 예를 들어 Avast에는 유사한 시스템이 있습니다. 인터넷 보안. 그러나 하나의 작은 "하지만"이 있습니다. 비슷한 기능을 가진 거의 모든 바이러스 백신이 유료입니다! 그리고 유료 특성으로 인해 청중이 다소 제한되어 있습니다. 즉, 소수의 사람들만 사이트 평가 등급에 들어갈 수 있습니다!
그래서 스스로에게 더 나은 해결책을 찾았습니다. 웹 오브 트러스트라고 합니다.
웹 오브 트러스트 무료 서비스사이트 신뢰성 평가.
작동 원리
사실, 이것은 브라우저를 위한 특별한 가제트이며, 열었을 때, 새 페이지가까운 주소 표시 줄컬러 엠블럼의 형태로 등급을 보여줍니다. (밝은 녹색에서 밝은 빨간색으로 색상이 지정될 수 있습니다.) 그리고 엠블럼(원한다면 사이트의 신뢰성을 나타내는 지표)이 녹색일 수록 사이트가 더 안전합니다. 그 반대의 경우도 마찬가지입니다. 아이콘이 빨간색으로 바뀌면 이 사이트에 문제가 있는 것입니다...
그리고 오른쪽 빨간 버튼을 눌러 다운받으시면 됩니다. 또한 Internet Explorer에 플러그인을 설치하기 위한 그림에 간단한 지침을 첨부합니다.
