Uruchom protokół "phpinfo()" i sprawdź wiersz poleceniem "open_basedir". Za pomocą tego polecenia możesz zdefiniować katalog podstawowy dla wszystkich użytkowników. Po ustawieniu tej wartości nie będą już mogli otwierać plików poza tym folderem głównym lub jego podkatalogami, takimi jak „C:\Windows”.

Jeśli masz inne katalogi strukturalne, zdefiniuj je jako katalog podstawowy za pomocą polecenia „www_root”. Jednak jeden użytkownik będzie mógł również czytać i modyfikować pliki innego użytkownika. Należy temu zapobiec.

Niestety w pliku „php.ini” nie ma opcji uniemożliwiających jednemu użytkownikowi dostęp do danych innego użytkownika.

Ale jest jeden ciekawy sposób jeśli PHP działa na Apache. W "phpinfo()" znajdziesz dwie kolumny: "Wartość główna" i "Wartość lokalna". Pierwsza to wartość w "php.ini". Druga to wartość ustalana podczas działania serwera.

Jeśli wartość bazowa jest mała pod względem liczbowym, można ją zmienić w skrypcie za pomocą polecenia „ini_set()”. Nie dotyczy to „open_basedir”, ponieważ ta wartość ma krytyczne znaczenie dla bezpieczeństwa i może być zmieniona tylko przez administratora.

W Apache plik konfiguracyjny"httpd.conf" można określić w katalogu pod lokalną wartością "open_basedir".

Inne ustawienia PHP

Poprzez ustawienie "disable_functions" w pliku "php.ini" konieczne jest wyłączenie funkcji, które są potencjalnie niebezpieczne.
Zastanów się dokładnie nad każdym podejmowanym działaniem. Wyłączenie funkcji oznacza, że ​​niektóre skrypty przestaną działać.

Niektóre funkcje są naprawdę niebezpieczne i zwykle nie są wymagane do pisania skryptów. Inne – mogą być niezbędne do określonych celów. Nie jest więc łatwo wyłączyć wszystkie funkcje, które mogą być niebezpieczne, ale także starannie rozważyć swoje decyzje.

Nie wierz, że wystarczy jedna funkcja "safe_mode = On". Może niektóre wyłączyć przydatne funkcje a nie rozwiązać opisanego powyżej problemu bezpieczeństwa. Tryb bezpieczeństwa przestarzałe w PHP 5.3.0 i usunięte w PHP 6.0.0.

Kwestie obronne

Istnieje kilka błędów, które programista może popełnić i sprawić, że witryna stanie się niebezpieczna.

Na przykład, jeśli tworzysz swojego bloga i pozwalasz użytkownikom przesyłać obrazy, może to stanowić poważne zagrożenie, gdy kod jest pisany przez początkującego. Istnieje kilka błędów, które programista może popełnić na stronie logowania itp. Jednym z najczęstszych jest brak zakazu pobierania złośliwych algorytmów.

Ważne jest to, że jedna niezabezpieczona witryna na publicznym hostingu stanowi zagrożenie dla całego serwera. Również instalowanie projektów Open Source, takich jak PHP-Nuke, może być ryzykowne. Odkryto już kilka luk w takich projektach.

6 marca 2015 o 00:43

Audyt bezpieczeństwa serwisu – identyfikacja ryzyka i zagrożeń

  • Bezpieczeństwo informacji

Audyt bezpieczeństwa witryny (sprawdzenie witryny pod kątem podatności) – szereg procedur mających na celu zapewnienie: stabilna praca zasoby sieciowe, bezpieczeństwo danych i redukcja ryzyka.

Nie jest tajemnicą, że sytuacja gospodarcza dyktuje teraz nowe zasady, także w konkurencji. Jeśli wcześniej „wojna technologii”, cyberszpiegostwo i destrukcyjne działania były głównie udziałem wielkich korporacji lub całych państw, teraz metody te są z powodzeniem stosowane w małych i średnich przedsiębiorstwach.

Na razie odstawimy na bok strony firmowe offline, ale dziś porozmawiamy o serwisach komercyjnych, których główny dochód związany jest z działalnością internetową.

Audyt bezpieczeństwa witryny to zestaw prac mających na celu identyfikację błędów w kodzie witryny i oprogramowanie serwery, których atakujący mogą użyć do zaatakowania i zhakowania witryny.

Motywacje, którymi posługują się napastnicy, mogą być różne – to zarówno przechwałki, jak i poszukiwanie korzyści zarówno dla siebie, jak i poprzez pracę na „zamówienie”.

Z najnowszych „głośnych” przykładów - hakowanie niezależnej giełdy FL.ru



zrzut ekranu wiadomości atakującego w imieniu jednego z administratorów

Tutaj zasób wyraźnie doznał uszczerbku na reputacji, zmniejszono lojalność użytkowników. Nowych użytkowników może być trudno przyciągnąć: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
W wyniku poszukiwań SERP GOOGLE na prośbę FL.RU drugi to temat na Habré o drenażu bazy użytkowników.

Co dałby audyt bezpieczeństwa giełdy FL.RU - wybór haseł do kont administratorów zasobów pomógłby je zidentyfikować? Konta. Dodatkowe zalecenia i zasady ich przestrzegania pomogłyby uniknąć takiego niefortunnego przeoczenia. Brak ograniczenia dostępu do krytycznych funkcjonalności (kont użytkowników) z niezaufanego adresu IP tylko pogorszył sytuację.

Ryzyko utraty reputacji związane z włamaniem do strony internetowej firmy w naturalny sposób wpłynie na rentowność firmy. Ale istnieje również bezpośrednie zagrożenie kradzieżą danych, które są cenne dla firmy. Strona internetowa firmy związana z działalnością online - sklep internetowy, giełda elektroniczna itp. - główne narzędzie zarabiania - często zawiera bazę klientów, tym bardziej wartościową, jeśli usługa wiąże się z długoletnią pracą z klientem, wielokrotnymi zakupami i tak dalej.

Również manipulacja danymi płatniczymi, nieuczciwe transakcje w systemach wpłat/wypłat lub systemach płatności mogą spowodować poważne szkody dla firmy.

Atakujący atakujący witrynę można warunkowo podzielić na dwa typy:

1. Bierzemy wszystko, co źle kłamie.

Tacy napastnicy próbują uzyskać dostęp do dużej liczby witryn, używają prymitywnych technik, „szumów w dziennikach”. Zazwyczaj tacy aktorzy skanują strony za pomocą popularnych skanerów luk w zabezpieczeniach lub szukają podatnych na ataki systemów CMS pod kątem konkretnego exploita. Mogą być zainteresowani zarówno bazą użytkowników, jak i banalnym iframe na tzw. pakiet exploitów.


poszukiwanie wspólników do popełnienia przestępstwa z art. 273 Kodeksu karnego Federacji Rosyjskiej

Terminowy audyt bezpieczeństwa aplikacji internetowych pomoże zidentyfikować wrażliwe komponenty i obszary problemowe witryny. Rekomendacje pomogą Ci przygotować się do odpierania ataków hakerów.

2. Atakujemy określony cel.

Tego typu napastnicy są zwykle zmotywowani do zdobycia określonych danych lub ich zniszczenia:



ogłoszenia na forach „near-hacker”

W tym przypadku atakujący nie ograniczy się do metod pasywnych - najprawdopodobniej będzie atakował witrynę, aż osiągnie pożądany rezultat, wykorzystując wszystkie możliwe kombinacje wektorów ataku.

Kompleksowy audyt bezpieczeństwa, który zazwyczaj obejmuje następujące działania, może znacznie zwiększyć bezpieczeństwo witryny:

  • Szukaj luk w komponentach serwera;
  • Szukaj luk w środowisku sieciowym serwera;
  • Sprawdź zdalne wykonanie dowolnego kodu;
  • Sprawdzanie wtrysków (wstrzyknięcie kodu);
  • Próby ominięcia systemu uwierzytelniania zasobów sieciowych;
  • Sprawdzanie zasobu internetowego pod kątem luk „XSS” / „CSRF”;
  • Próby przechwycenia kont uprzywilejowanych (lub sesji takich kont);
  • Próby wykonania zdalnego dołączania plików / lokalnego dołączania plików;
  • Wyszukaj komponenty ze znanymi lukami;
  • Sprawdź przekierowania do innych witryn i otwórz przekierowania;
  • Skanowanie katalogów i plików przy użyciu brute force i „google hack”;
  • Analiza formularzy wyszukiwania, formularzy rejestracyjnych, formularzy autoryzacji itp.;
  • Sprawdzenie zasobu pod kątem możliwości jawnego uzyskania informacji poufnych i tajnych;
  • Ataki klasowe w warunkach rasowych;
  • Osadzanie encji XML;
  • Wybór haseł.

Audyt bezpieczeństwa witryny to proaktywny środek, który pozwala uzyskać odpowiednią ocenę bezpieczeństwa zasobu firmy, pełna informacja o znalezionych lukach, możliwe scenariusze ataki i zalecenia dotyczące ich eliminacji. W rzeczywistości nie jest to wydarzenie, ale ciągły proces mający na celu zapewnienie bezpieczeństwa procesów biznesowych strony internetowej firmy, utrzymanie reputacji biznesowej, wzrost gospodarczy i rozwój biznesu.

Nie czekaj, aż Twoja witryna zostanie zaatakowana przez intruzów - zamów u profesjonalistów kompleksowy audyt bezpieczeństwa witryny.

Ostatnio głównym siedliskiem wirusów stał się Internet, bo tylko tam mogą skutecznie rozpiętość na komputerach użytkowników. Dawno minęły czasy, gdy systemy były infekowane za pomocą dysków lub kart pamięci flash. Wraz ze wzrostem ilości pobieranych informacji wzrosła liczba zainfekowanych komputerów, ponieważ użytkownicy postrzegają zagrożenie z Internetu jako coś abstrakcyjnego i coś, co ich nie dotyczy.

Niestety tak nie jest. Zaniedbanie podstaw bezpieczeństwa może zagrozić naszym danym przechowywanym w dyski twarde. Wskaźnikiem stały się infekcje komputerów dużych korporacji wirus ransomware, który wyłudzał pieniądze za odblokowanie i w inny sposób szyfrował dane. Większość z nich zaraziła się nią przez banalną nieuwagę.

Zapobieganie zakażeniom

Przede wszystkim musisz korzystać z programów antywirusowych. Większość z nich jest zdolna filtr ruch, zaliczka ostrzeżenie użytkowników o niebezpieczeństwie czającym się w otwieranym zasobie. Nawet darmowe wersje może znacznie zwiększyć ochronę komputera.

Po drugie, powinieneś udać się do przeglądarki, w którym jest osadzony sprawdzanie strony internetowej. Ostrzegają przed niebezpieczeństwem, które czyha na użytkowników w danej witrynie. Jeden z tych - Przeglądarka Yandex. Wbudowany domyślnie podłącz, skanując witrynę i ograniczając dostęp do szczerze złośliwych zasobów. Jeśli użytkownik spróbuje wejść na taką stronę, zobaczy ostrzeżenie o niebezpieczeństwie i sugestię zamknięcia zakładki.

Po trzecie, spróbuj nie przekraczać na podejrzanych linkach w sieciach społecznościowych. Samo Vkontakte ostrzega, że ​​strona może być niebezpieczna, więc nie zaniedbuj porady serwisu. Większość infekcji przebiega w ten sposób.

Korzystanie z Google do weryfikacji

Ta opcja jest odpowiednia dla właścicieli witryn, którzy chcą mieć pewność, że ich kreacje nie zaszkodzą użytkownikom. ogólnoświatowa sieć. Jeśli strona nie należy do Ciebie, nie będziesz mógł jej sprawdzić za pomocą wyszukiwarek.

Na początek przejdźmy do panel webmastera. Znajduje się na google.com/webmasters/tools/home (musisz być zalogowany do swojego konto Google). Następnie kliknij przycisk „ Dodaj zasób” i wpisz w polu link do strony. Następnie naciśnij „ Dodać».

Potem będziemy potrzebować potwierdzać prawa do witryny. W tym celu musisz umieścić Szablon HTML w zasobie, aby Google mógł nas zidentyfikować. Wykonujemy wszystkie czynności z instrukcji i klikamy „ Potwierdzać».

Po potwierdzeniu możemy zobaczyć wszystkie informacje o naszej stronie. Aby to zrobić, wybierz zakładkę „ Problemy z bezpieczeństwem”. Jeśli na stronie znajdują się wirusy, system nas o tym poinformuje. Jeśli nie, zobaczymy taki obraz.

Yandex do sprawdzania wirusów

Ogólnie rzecz biorąc, w Yandex powtarzamy tę samą procedurę, co w Google:

Doctor Web i Kaspersky

W większości przypadków sprawdzając witrynę za pośrednictwem tych dwóch usług, możesz mieć 97% pewności, że witryna nie zawiera wirusów. Laboratoria te poświęciły lata na rozwój programy antywirusowe więc nie ma powodu, aby wątpić w ich kompetencje. Zacznijmy od Doctor Web.

Idziemy na oficjalnej stronie vms.drweb.ru/online. Oprócz sprawdzania wirusów możesz zobaczyć szeroki wybór Informacja o wirusach i ich rozprzestrzenianiu się. Główną częścią strony jest środkowy pasek adresu, do którego wprowadź link na sprawdzanym zasobie i kliknij " Zweryfikować».

Po chwili dostaniemy szczegółowy opis przeprowadzone kontrole, a także wniosek o niebezpieczeństwie lub bezpieczeństwie strony.

Praca " Kaspersky' jest zbudowany na tej samej zasadzie. Jednak tutaj też możemy sprawdzić akta. Wchodzić URL w pasku adresu i kliknij zweryfikować.

W przeciwieństwie do poprzedniej usługi nie jesteśmy ładowani szczegółami czeku, ale od razu podajemy wynik.

Inne usługi online

Oprócz tych już uwzględnionych istnieją inne usługi sprawdzania linków:


Skąd wiesz, czy odwiedzana witryna jest bezpieczna? Czy kupowanie czegoś na nim jest ryzykowne i czy jego zawartość jest odpowiednia dla dzieci?

W tym celu popularne antywirusy mają wbudowany system oceny witryn. Najczęściej działa w oparciu o głosy samych użytkowników. Podobny system jest na przykład w Avast ochrona Internetu. Ale jest jedno małe „ale” - prawie wszystkie programy antywirusowe o podobnych funkcjach są płatne! A ze względu na ich płatny charakter mają dość ograniczoną publiczność, co oznacza, że ​​tylko niewielka ich liczba dostaje się do oceny witryny!

Więc znalazłem dla siebie lepsze rozwiązanie. Nazywa się Web Of Trust.

Sieć zaufania Darmowa usługa oceny niezawodności witryny.

Zasada działania

W rzeczywistości jest to specjalny gadżet dla przeglądarki, który po otwarciu Nowa strona Blisko pasek adresu pokazuje swoją ocenę w postaci kolorowego emblematu. (Może być pokolorowany od jasnozielonego do jaskrawoczerwonego) Im bardziej zielony emblemat (wskaźnik wiarygodności strony, jeśli wolisz), tym bezpieczniejsza strona. I odwrotnie - jeśli ikona zmieni kolor na czerwony - coś jest nie tak z tą stroną ...

I pobierz go, klikając czerwony przycisk po prawej stronie. Dołączę również krótką instrukcję na zdjęciach dotyczącą instalacji wtyczki w Internet Explorerze: