Paleiskite „phpinfo()“ protokolą ir patikrinkite eilutę naudodami komandą „open_basedir“. Naudodami šią komandą galite nustatyti visų vartotojų bazinį katalogą. Nustačius šią reikšmę, jie nebegalės atidaryti failų, esančių už šio šakninio aplanko ar jo pakatalogių, pvz., „C:\Windows“.

Jei turite kitų struktūrinių katalogų, nurodykite juos kaip pagrindinį katalogą naudodami komandą „www_root“. Tačiau vienas vartotojas taip pat galės skaityti ir keisti kito vartotojo failus. Tam reikia užkirsti kelią.

Deja, faile „php.ini“ nėra parinkčių, kurios neleistų vienam vartotojui pasiekti kito asmens duomenų.

Bet yra vienas įdomus būdas jei PHP veikia „Apache“. „phpinfo()“ rasite du stulpelius: „Pagrindinė vertė“ ir „Vietinė vertė“. Pirmasis yra „php.ini“ reikšmė. Antroji yra reikšmė, kuri nustatoma serverio veikimo metu.

Jei bazinė reikšmė yra maža skaitine išraiška, tada ją galima pakeisti scenarijuje naudojant komandą "ini_set ()". Tai netaikoma „open_basedir“, nes ši reikšmė yra svarbi saugai ir ją gali pakeisti tik administratorius.

Apache konfigūracijos failą„httpd.conf“ galima nurodyti kataloge vietine reikšme „open_basedir“.

Kiti PHP nustatymai

Nustačius „disable_functions“ faile „php.ini“, būtina išjungti potencialiai pavojingas funkcijas.
Atidžiai pagalvokite apie kiekvieną veiksmą, kurį atliekate. Funkcijos išjungimas reiškia, kad kai kurie scenarijai nustos veikti.

Kai kurios funkcijos yra tikrai pavojingos ir paprastai nėra reikalingos scenarijui kurti. Kiti – gali būti reikalingi tam tikriems tikslams. Todėl nėra lengva išjungti visas funkcijas, kurios gali būti pavojingos, tačiau taip pat atidžiai pasverkite savo sprendimus.

Netikėkite, kad užteks vienos funkcijos „safe_mode = On“. Ji gali kai kuriuos išjungti naudingų savybių ir neišspręstų aukščiau aprašytos saugumo problemos. Saugus režimas nebenaudojamas PHP 5.3.0 ir pašalintas PHP 6.0.0.

Gynybos klausimai

Yra keletas klaidų, kurias gali padaryti žiniatinklio kūrėjas, todėl svetainė tampa nesaugi.

Pavyzdžiui, jei kuriate savo tinklaraštį ir leidžiate vartotojams įkelti vaizdus, ​​tai gali būti didelis pavojus, kai kodą rašo pradedantysis. Yra keletas klaidų, kurias programuotojas gali padaryti prisijungimo puslapyje ir tt Viena iš labiausiai paplitusių yra draudimo atsisiųsti kenkėjiškus algoritmus nebuvimas.

Svarbu tai, kad viena nesaugi svetainė viešajame priegloboje kelia grėsmę visam serveriui. Taip pat gali būti rizikinga įdiegti atvirojo kodo projektus, tokius kaip PHP-Nuke. Jau buvo aptikta keletas tokių projektų pažeidžiamumų.

2015 m. kovo 6 d., 00:43

Svetainės saugumo auditas – rizikos ir grėsmių nustatymas

  • Informacijos saugumas

Svetainės saugumo auditas (tikrinama, ar svetainėje nėra pažeidžiamumų) – eilė procedūrų, kuriomis siekiama užtikrinti stabilus veikimasžiniatinklio išteklių, duomenų saugumo ir rizikos mažinimo.

Ne paslaptis, kad ekonominė situacija dabar diktuoja naujas taisykles, taip pat ir konkurencijos srityje. Jei anksčiau „technologijų karas“, kibernetinis šnipinėjimas ir destruktyvūs veiksmai buvo daugiausia didelių korporacijų ar ištisų valstybių slėnis, tai dabar šie metodai gana sėkmingai taikomi smulkaus ir vidutinio verslo įmonėse.

Neprisijungusias įmonių svetaines kol kas palikime nuošalyje, o šiandien kalbėsime apie komercines svetaines, kurių pagrindinės pajamos yra susijusios su veikla internete.

Svetainės saugumo auditas – tai darbų rinkinys, skirtas nustatyti svetainės kodo klaidas ir programinė įranga serveriai, kuriuos užpuolikai gali naudoti atakuodami ir įsilauždami į svetainę.

Užpuolikų naudojama motyvacija gali būti skirtinga – tai ir pasigyrimas, ir naudos ieškojimas tiek sau asmeniškai, tiek dirbant „užsakymu“.

Iš naujausių „aukšto profilio“ pavyzdžių – laisvai samdomų vertėjų biržos FL.ru įsilaužimas



užpuoliko pranešimo ekrano kopija vieno iš administratorių vardu

Čia išteklius aiškiai patyrė reputaciją, sumažėjo vartotojų lojalumas. Gali būti sunku pritraukti naujų vartotojų: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
Dėl kratos GOOGLE SERPs FL.RU prašymu, antrasis yra Habré tema apie vartotojų bazės nutekėjimą.

Ką duotų FL.RU biržos saugos auditas – resursų administratoriaus paskyrų slaptažodžių parinkimas padėtų juos atpažinti Sąskaitos. Tokio apgailėtino apsirikimo padėtų išvengti papildomos rekomendacijos ir jų laikymosi taisyklės. Prieigos prie svarbiausių funkcijų (vartotojų abonementų) iš nepatikimo IP adreso apribojimo nebuvimas situaciją tik pablogino.

Įsilaužimo į įmonės svetainę rizika reputacijai natūraliai paveiks įmonės pelningumą. Tačiau taip pat kyla tiesioginė įmonei vertingų duomenų vagystės grėsmė. Įmonės svetainė, susijusi su veikla internete – internetinė parduotuvė, elektroninė birža ir kt. - pagrindinis įrankis pelnui gauti - dažnai yra klientų duomenų bazė, tuo labiau vertinga, jei paslauga yra susijusi su ilgalaikiu darbu su klientu, pakartotiniais pirkimais ir pan.

Taip pat didelę žalą įmonei gali padaryti manipuliavimas mokėjimo duomenimis, apgaulingos operacijos įmokų/išgryninimo sistemose ar mokėjimo sistemose.

Svetainę atakuojantys užpuolikai gali būti sąlygiškai suskirstyti į du tipus:

1. Mes blogai priimame viską, kas meluoja.

Tokio tipo užpuolikai bando patekti į daugybę svetainių, naudoja primityvias technikas, „triukšmą žurnaluose“. Paprastai tokie veikėjai nuskaito svetainę (-es) naudodami populiarius pažeidžiamumo skaitytuvus arba ieško pažeidžiamų TVS tam tikram išnaudojimui. Juos gali sudominti ir vartotojų bazė, ir banalus „iframe“ vadinamasis. exploit-pack.


bendrininkų paieška, siekiant padaryti nusikaltimą, numatytą Rusijos Federacijos baudžiamojo kodekso 273 str.

Laiku atliktas žiniatinklio programų saugos auditas padės nustatyti pažeidžiamus svetainės komponentus ir problemines sritis. Rekomendacijos padės pasiruošti atremti įsilaužėlių atakas.

2. Puolame į konkretų taikinį.

Šio tipo užpuolikai paprastai yra motyvuoti gauti tam tikrus duomenis arba juos sunaikinti:



pranešimai „beveik įsilaužėlių“ forumuose

Tokiu atveju užpuolikas neapsiribos pasyviais metodais – greičiausiai jis atakuos svetainę tol, kol gaus norimą rezultatą, naudodamas visas įmanomas atakos vektorių kombinacijas.

Išsamus saugos auditas, kuris paprastai apima šiuos veiksmus, gali padėti žymiai padidinti svetainės saugumą:

  • Ieškoti serverio komponentų pažeidžiamumų;
  • Ieškoti pažeidžiamumų serverio žiniatinklio aplinkoje;
  • Patikrinkite savavališko kodo nuotolinį vykdymą;
  • Injekcijų tikrinimas (kodo įpurškimas);
  • Bando apeiti žiniatinklio išteklių autentifikavimo sistemą;
  • Tikrinama, ar žiniatinklio šaltinyje nėra „XSS“ / „CSRF“ pažeidžiamumų;
  • Bandymai perimti privilegijuotas paskyras (arba tokių paskyrų seansus);
  • Bandymai atlikti nuotolinį failų įtraukimą / vietinį failų įtraukimą;
  • Ieškoti komponentų su žinomomis pažeidžiamumu;
  • Patikrinkite, ar nėra peradresavimų į kitas svetaines ir atidarykite peradresavimus;
  • Katalogų ir failų nuskaitymas naudojant brutalią jėgą ir „google hack“;
  • Paieškos formų, registracijos formų, įgaliojimų formų ir kt. analizė;
  • Išteklių tikrinimas dėl galimybės atvirai gauti konfidencialią ir slaptą informaciją;
  • Rasinių sąlygų klasės atakos;
  • XML objektų įterpimas;
  • Slaptažodžių pasirinkimas.

Svetainės saugos auditas yra aktyvi priemonė, leidžianti tinkamai įvertinti įmonės išteklių saugumą, visa informacija apie rastus pažeidžiamumus, galimus scenarijus išpuolius ir rekomendacijas joms pašalinti. Tai, tiesą sakant, nėra įvykis, o nuolatinis procesas, siekiant užtikrinti įmonės interneto svetainės verslo procesų saugumą, palaikyti verslo reputaciją, ekonomikos augimą ir verslo plėtrą.

Nelaukite, kol jūsų svetainę užpuls įsibrovėliai – užsisakykite profesionalų išsamų svetainės saugumo auditą.

Pastaruoju metu internetas tapo pagrindine virusų buveine, nes tik ten jie gali efektyviai veikti plisti vartotojų kompiuteriuose. Jau praėjo laikai, kai sistemos buvo užkrėstos per diskus ar „flash“ korteles. Didėjant atsisiunčiamos informacijos kiekiui, padaugėjo užkrėstų kompiuterių, nes vartotojai interneto grėsmę suvokia kaip kažką abstraktaus ir jų neliečiančio.

Deja, taip nėra. Saugos pagrindų nepaisymas gali pakenkti mūsų saugomiems duomenims kietieji diskai. Didelių korporacijų kompiuterių užkrėtimai tapo orientaciniais ransomware virusas, kuri išviliojo pinigus už atrakinimą ir kitaip šifravo duomenis. Dauguma jų susirgo dėl banalaus neatidumo.

Infekcijos prevencija

Pirmiausia turite naudoti antivirusines programas. Dauguma jų yra pajėgūs filtras eismas, avansas įspėjimas vartotojams apie pavojų, tykantį atidaromo ištekliaus. Netgi nemokamos versijos gali žymiai pagerinti jūsų kompiuterio apsaugą.

Antra, turėtumėte eiti į naršyklės, kuriame yra įdėta svetainės patikrinimas. Jie įspėja apie pavojų, kuris laukia vartotojų konkrečioje svetainėje. Vienas iš šių - „Yandex“ naršyklė. Įmontuota pagal numatytuosius nustatymus prijungti, nuskaito svetainę ir apriboja prieigą prie atvirai kenksmingų išteklių. Jei vartotojas bandys patekti į tokį puslapį, jis pamatys įspėjimą apie pavojų ir pasiūlymą uždaryti skirtuką.

Trečia, pabandykite neperženk apie įtartinas nuorodas socialiniuose tinkluose. Pati „Vkontakte“ įspėja, kad svetainė gali būti pavojinga, todėl nepamirškite tarnybos patarimų. Dauguma infekcijų atsiranda tokiu būdu.

„Google“ naudojimas patvirtinimui

Ši parinktis tinka svetainių savininkams, norintiems užtikrinti, kad jų kūriniai nepakenktų vartotojams. pasaulinis tinklas. Jei svetainė jums nepriklauso, negalėsite jos patikrinti per paieškos sistemas.

Norėdami pradėti, pereikime prie žiniatinklio valdytojo skydelis. Jis yra adresu google.com/webmasters/tools/home (turite būti prisijungę prie Google paskyra). Po to spustelėkite mygtuką " Pridėti išteklių“ ir laukelyje įveskite nuorodą į svetainę. Po to paspauskite " Papildyti».

Po to mums reikės patvirtinti svetainės teises. Tam reikia įdėti vietą HTML šablonasšaltinyje, kad „Google“ galėtų mus identifikuoti. Mes atliekame visus veiksmus pagal instrukcijas ir spustelėkite " Patvirtinti».

Po patvirtinimo galime matyti visą informaciją apie mūsų svetainę. Norėdami tai padaryti, pasirinkite skirtuką " Saugumo problemos“. Jei puslapyje yra virusų, sistema mums apie tai praneš. Jei ne, pamatysime tokį vaizdą.

„Yandex“, kad patikrintų, ar nėra virusų

Apskritai „Yandex“ kartojame tą pačią procedūrą kaip ir „Google“:

Doctor Web ir Kaspersky

Dažniausiai, patikrinę svetainę per šias dvi paslaugas, galite būti 97% tikri, kad svetainėje nėra virusų. Šios laboratorijos daug metų skyrė plėtrai antivirusines programas todėl nėra pagrindo abejoti jų kompetencija. Pradėkime nuo Doctor Web.

Mes einameį oficialią svetainę vms.drweb.ru/online. Be virusų tikrinimo, galite pamatyti platų pasirinkimą informacija apie virusus ir jų plitimą. Pagrindinė puslapio dalis yra adreso juosta viduryje, į kurią įveskite nuorodą ant tikrinamo šaltinio ir spustelėkite " Patvirtinti».

Po kurio laiko sulauksime Išsamus aprašymas atliktus patikrinimus, taip pat išvadą apie puslapio pavojų ar saugumą.

Darbas" Kaspersky“ yra sukurtas tuo pačiu principu. Tačiau čia taip pat galime patikrinti failus. Įeikite URL adreso juostoje ir spustelėkite patikrinti.

Skirtingai nuo ankstesnės paslaugos, mes neapkrauname čekio detalių, o iškart pateikiame rezultatą.

Kitos internetinės paslaugos

Be jau svarstytų, yra ir kitų nuorodų tikrinimo paslaugų:


Kaip sužinoti, ar svetainė, kurioje lankotės, yra saugi? Ar rizikinga ant jos ką nors nusipirkti ir kiek jos turinys tinkamas vaikams?

Norėdami tai padaryti, populiariose antivirusinėse programose yra įmontuota svetainių vertinimo sistema. Dažniausiai tai veikia pagal pačių vartotojų balsus. Panaši sistema yra, pavyzdžiui, „Avast“. interneto apsauga. Tačiau yra vienas mažas „bet“ – beveik visos panašių funkcijų antivirusinės yra mokamos! Ir dėl savo mokamo pobūdžio jie turi gana ribotą auditoriją, o tai reiškia, kad tik nedidelė dalis jų patenka į svetainės vertinimo reitingą!

Taigi radau sau geresnį sprendimą. Jis vadinamas „Web Of Trust“.

Web Of Trust nemokama paslauga svetainės patikimumo vertinimai.

Veikimo principas

Tiesą sakant, tai yra speciali naršyklės programėlė, kurią atidarius naujas puslapisšalia adreso juosta rodo savo įvertinimą spalvotos emblemos pavidalu. (Ją galima nuspalvinti nuo ryškiai žalios iki ryškiai raudonos) Ir kuo žalesnė emblema (jei norite, svetainės patikimumo rodiklis), tuo svetainė saugesnė. Ir atvirkščiai - jei piktograma pasidaro raudona - kažkas negerai su šia svetaine ...

Ir atsisiųskite jį spustelėdami raudoną mygtuką dešinėje. Taip pat nuotraukose pridėsiu trumpą instrukciją, kaip įdiegti papildinį „Internet Explorer“: