Запустите протокол «phpinfo ()» и проверьте линию командой «open_basedir». С помощью этой команды вы можете определить базовый каталог для всех пользователей. После установки этого значения, они больше не будут иметь возможность открывать файлы вне этой корневой папки или ее подкаталогов как, например, «C:\Windows».
Если у вас есть другие структурные каталоги, определите их в качестве базового каталога командой «www_root». Однако один пользователь также сможет читать и изменять файлы другого пользователя. Это необходимо предотвратить.
К сожалению, не существует опций в файле «php.ini» для того, чтобы запретить одному пользователю получать доступ к данным другого.
Но есть один интересный способ, если PHP работает на Apache. В «phpinfo ()» вы найдете две колонки: «Основное Значение» и «Локальное значение». Первое является значением в «php.ini». Второе - это значение, которое определяется в процессе работы сервера.
Если основное значение невелико в цифровом эквиваленте, то оно может быть изменено в сценарии при помощи команды «ini_set ()». Это не относится к «open_basedir», потому что это значение является критическим для безопасности, и может быть изменено только администратором.
В Apache конфигурационный файл «httpd.conf» можно указать в справочнике под локальным значением «open_basedir».
Другие настройки PHP
С помощью установки «disable_functions» в файле «php.ini», необходимо отключить функции, которые потенциально опасны.
Тщательно обдумывайте каждое свое действие. Отключение функции означает, что кое-какие скрипты перестанут работать.
Некоторые функции действительно опасны и обычно не требуются для сценариев. Другие - могут быть необходимы для определенных целей. Поэтому непросто отключайте все функции, которые могут быть опасными, но и тщательно взвешивайте свои решения.
Не верьте в то, что одной функции «safe_mode = On» будет достаточно. Она может отключить некоторые полезные функции и не решить проблему безопасности, описанную выше. Безопасный режим не рекомендуется в PHP 5.3.0 и удаляется в PHP 6.0.0.
Проблемы защиты
Есть несколько ошибок, которые веб-разработчик может допустить и сделать сайт небезопасным.
Например, если вы создаете свой блог и позволяете пользователям загружать изображения, это может быть серьезной опасностью, когда код написан новичком. Есть несколько ошибок, которые программист может сделать на странице входа и т. д. Одна из самых распространенных – отсутствие запрета на загрузку вредоносных алгоритмов.
Важным моментом является то, что один небезопасный сайт на общественном хостинге является угрозой для всего сервера. Также установка Open Source проектов, как, например, PHP-Nuke может быть рискованной. Несколько уязвимых мест в подобных проектах уже было обнаружено.
6 марта 2015 в 00:43Аудит безопасности сайта - выявление рисков и угроз
- Информационная безопасность
Аудит безопасности сайта (проверка сайта на уязвимости) - ряд процедур, нацеленных на обеспечение стабильной работы веб-ресурса, безопасности данных и снижения рисков.
Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно применяются в малом и среднем бизнесе.
Сайты оффлайн компаний пока оставим в стороне, а сегодня поговорим про коммерческие вебсайты, чей основной доход связан с интернет деятельностью.
Аудит безопасности сайта - это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.
Мотивация, которую применяют злоумышленники может быть различной - это и бахвальство, и поиск выгоды как для себя лично, так и работая на «заказ».
Из последних «громких» примеров - взлом фриланс-биржы FL.ru
скриншот сообщения взломщика от имени одного из администраторов
Здесь ресурсу явно нанесен репутационный ущерб, лояльность пользователей снижена. Новых пользователей, возможно, будет сложно привлекать: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
В результате поисковой выдачи GOOGLE по запросу FL.RU вторым идет топик на Хабре о сливе пользовательской базы.
Что бы дал аудит безопасности биржы FL.RU - подбор паролей учетных записей администраторов ресурса помог бы выявить эти учетные записи. Дополнительные рекомендации и правила по их соблюдению помогли бы избежать такой досадной оплошности. Отсутсвие ограничения доступа к критичному функционалу (учетные записи пользователей) с недоверенного IP адреса только усугубил положение.
Репутационные риски взлома сайта компании естественно повлияют на доходность компании. Но существует и прямая угроза кражи данных, представляющих ценность для компании. Веб сайт компании, связанный с онлайн-деятельностью - интернет магазин, электронная биржа и проч. - основной инструмент получения прибыли - зачастую содержит в себе базу данных клиентов, тем более ценную, если сервис подразумевает длительную работу с клиентом, повторные покупки и прочее.
Также большой ущерб компании может нанести манипуляция платежными данными, мошеннические транзакции в системах ввода/вывода средств или системах оплаты.
Злоумышленников, атакующих сайт, условно можно разделить на два типа:
1. Берем всё, что плохо лежит.
Такого рода злоумышленники пытаются получить доступ к большому количеству сайтов, используют примитивные техники, «шумят в логах». Обычно такого рода субъекты сканируют сайт(ы) популярными сканерами уязвимостей или ищут уязвимые CMS под конкретный эксплоит. Их может интересовать как пользовательская база, так и банальный iframe на т.н. exploit-pack.
поиск подельников для совершения правонарушения по статье 273 УК РФ
Вовремя проведенный аудит безопасности веб приложений поможет выявить уязвимые компоненты и проблемные области сайта. Рекомендации помогут быть готовыми к отражению хакерских атак.
2. Атакуем конкретную цель.
Такого рода злоумышленники обычно мотивированы на получение определенных данных или их уничтожение:
объявления на «околохакерских» форумах
В данном случае злоумышленник не ограничится пассивными методами - скорее всего он будет атаковать сайт до тех пор, пока не получит требуемый результат, использую все возможные комбинации векторов атаки.
Существенно повысить защищенность сайта может помочь комплексный аудит безопасности, как правило включающий в себя следующие действия:
- Поиск уязвимостей серверных компонентов;
- Поиск уязвимостей в веб-окружении сервера;
- Проверка на удаленное выполнение произвольного кода;
- Проверка на наличие инъекций (внедрение кода);
- Попытки обхода системы аутентификации веб-ресурса;
- Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
- Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
- Попытки произвести Remote File Inclusion / Local File Inclusion;
- Поиск компонентов с известными уязвимостями;
- Проверка на перенаправление на другие сайты и открытые редиректы;
- Сканирование директорий и файлов, используя перебор и «google hack»;
- Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
- Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
- Атаки класса «race condition»;
- Внедрение XML-сущностей;
- Подбор паролей.
Аудит безопасности сайта - это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению. Это, по сути, не событие, а непрерывный процесс по обеспечению безопасности бизнес-процессов сайта компании, сохранению деловой репутации, экономического роста и развития бизнеса.
Не ждите, пока Ваш сайт будет атакован злоумышленниками - закажите комплексный аудит безопасности сайта у профессионалов.
В последнее время основной средой обитания вирусов стал интернет, так как только там они могут эффективно распространяться по компьютерам пользователей. Прошли те времена, когда системы заражались через диски или флеш-карты. С увеличением количества скачиваемой информации, увеличилось число зараженных компьютеров, так как пользователи воспринимают угрозу из интернета как нечто абстрактное и то, что их не коснется.
К сожалению это не так. Пренебрежение элементарными основами безопасности может поставить под удар наши данные, хранящиеся на жестких дисках . Показательными стали заражения компьютеров крупных корпораций вирусом-шифровальщиком , который вымогал деньги за разблокировку, а в противном случае зашифровывал данные. Большинство заразились им из-за банальной невнимательности.
Профилактика заражения
В первую очередь нужно использовать антивирусные программы. Большинство из них способны фильтровать трафик, заранее предупреждая пользователей об опасности, таящейся на открываемом ресурсе. Даже бесплатные версии способны существенно усилить защиту компьютера.
Во-вторых стоит перейти на браузеры , в которых встроена проверка сайтов . Они предупреждают об опасности, которая поджидает пользователей на том или ином сайте. Один из таких – Яндекс.Браузер . В него по умолчанию встроен плагин , сканирующий сайт и ограничивающий доступ к откровенно-зловредным ресурсам. Если пользователь попытается зайти на такую страницу, он увидит уведомление об опасности и предложение закрыть вкладку.
В-третьих, старайтесь не переходить по подозрительным ссылкам в социальных сетях. Вконтакте сам предупреждает о том, что сайт может быть опасен, поэтому не стоит пренебрегать советам сервиса. Большая часть заражений происходит как раз таким образом.
Используем Google для проверки
Этот вариант подходит для владельцев сайтов, которые хотят убедиться, что их творения не принесет вреда пользователям всемирной паутины. Если сайт вам не принадлежит, то проверить его через поисковики не получится.
Для начала заходим в панель вебмастера
. Она находится по ссылке google.com/webmasters/tools/home (нужно войти в свой Google аккаунт). После этого нажимаем на кнопку «Добавить ресурс
» и вводим ссылку на сайт в окошко. После этого жмём «Добавить
».
После этого от нас потребуется подтвердить
права на сайт. Для этого нужно разместить HTML шаблон на ресурсе, чтобы Google смог нас идентифицировать. Выполняем все действия из инструкции и жмём «Подтвердить
».
После подтверждения мы можем посмотреть всю информацию о нашем сайте. Для этого выбираем вкладку «Проблемы безопасности
». Если на странице есть вирусы – система нас об этом оповестит. Если нет – увидим такую картину.
Яндекс для проверки на вирусы
По большому счету, в Яндексе мы повторяем ту же процедуру, что и в Google:
Доктор Веб и Касперский
В большинстве своем, проверив сайт через эти два сервиса можно на 97% быть уверенным, что сайт не содержит вирусов. Эти лаборатории посвятили годы разработке антивирусных программ, поэтому сомневаться в их компетентности не приходится. Начнем с Доктора Веба.
Заходим
на официальный сайт vms.drweb.ru/online. Кроме проверки на вирусы можно посмотреть обширную подборку информации
о вирусах и их распространении. Главная часть страницы – адресная строка посередине, в которую вводим ссылку
на проверяемый ресурс и жмём «Проверить
».
Через некоторое время мы получим подробное описание проведенных проверок, а так же заключение об опасности либо безопасности страницы.
Работа «Касперского
» построена по тому же принципу. Однако здесь мы можем так же проверить и файлы
. Вводим URL
в адресную строку и жмём проверить
.
В отличие от предыдущего сервиса, нас не грузят подробностями проверки, а сразу выдают результат.
Другие онлайн сервисы
Кроме уже рассмотренных есть и другие сервисы для проверки ссылок:
Как узнать, безопасен ли сайт, на который Вы попали? Рискованно ли на нём купить что-то и насколько его содержимое подходит для детей?
Для этого в популярных антивирусах есть встроенная система оценки сайтов. Чаще всего она работает на основе голосов самих пользователей. Подобная система есть, например, в Avast Internet Security. Но тут есть одно маленькое «но» — практически все антивирусы с подобными функциями платные! Да и в следствии своей платности они имеют довольно ограниченную аудиторию, а значит и в рейтинг оценки сайтов попадает лишь небольшое их количество!
Так что для себя я нашел решение получше. Называется оно — Web Of Trust.
Web Of Trust — бесплатный сервис оценки благонадёжности сайтов.
Принцип работы
По сути — это специальная примочка к браузеру, которая при открытии новой страницы возле адресной строки показывает её рейтинг в виде цветной эмблемки. (Она может быть окрашена от ярко зелёного до ярко красного цвета) И чем зеленее эмблема (индикатор надёжности сайта, если хотите), тем безопаснее этот сайт. И наоборот — если значок краснеет — что-то с этим сайтом неладно…
И скачайте его, нажав на рыжую кнопку справа. Приложу ещё короткую инструкцию в картинках по установке плагина в Internet Explorer:
