Основные правила защиты сайта от взлома - Веб-программирование | MMGP
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 434,370 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение -  .
Вход через:  
Все, что относится к Web-Программированию (PHP, Perl, JavaScript, MySQL, XML и т.д.)
При поддержке
Сеть доставки контента, выбранная космическими агентствами
Важная информация
Есть опыт работы с криптовалютами? Заведи Крипто-Блог и заработай на нём!
Торгуешь криптовалютой? Оставь свой отзыв о бирже!
Разбираешься в криптовалюте? Прими участие в акции Крипторайтер 2.0 (2-10 поинтов за 1000 символов)
Изменения в акции "Оплата за сообщения".
Как на одной публикации заработать $100
Ответить
 
Первый пост Опции темы
Сообщения прочитаны и/или просмотрены Сегодня, 03:55
Старый 24.07.2009, 13:58
#1
Заблокированный
 
Пол: Женский
Возраст: 35
Инвестирую в: Автосерфинг
Регистрация: 28.09.2007
Сообщений: 2,607
Благодарностей: 111
УГ: 0
КП: 0.000
Основные правила защиты сайта от взлома

Есть много способов взлома сайта, я напишу об основных:
1)Технология подлома базы (SQL-инъекция) - самая простая и достаточно распространенная технология, ее знают практически все кто знает SQL. Обезопаситься от нее можно легко и просто применив стандартную функцию PHP - mysql_real_escape_string() - данная функция полностью исключает SQL-инъекцию
2)Пробелы в строках- предполагается что пробелы в коде могут вызвать неправильные вычисление что и нужно хакеру. Защитить от них свой сайт можно применив функция вырезания пробелов trim()
3)Подмена COOKIES - технология COOKIES достаточна удобна, но стоит не забывать что все переменные массив $_COOKIES хранятся в браузере и их можно подменить (просто ввести вручную). Для защиты необходимо применять проверку (например проверять и логин и пароль а не толкьо логин). А можно воспользоваться сессией ($_SESSION) которая работает аналогично, но хранится на сервере, что полностью исключает подмену. Возможным недостатком $_SESSION может являться недостаточная функциональность, например сложность установки времени действия.
Баннер: {{ slide.title }}
Ciara вне форума  
Сказали спасибо 3 раз(а):
konan1985 (15.09.2009), Shair (24.07.2009), Vovan (29.07.2009)
Старый 25.07.2009, 20:56
#2
Интересующийся
 
Пол: Мужской
Регистрация: 02.09.2007
Сообщений: 90
Благодарностей: 3
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

по поводу сессий:

Цитата:
Возможным недостатком может являться .... сложность установки времени действия.
Чтобы задать время жизни сессии в секундах в файле php.ini устанавливаем следующие параметры:

session.gc_maxlifetime = 10800
session.cookie_lifetime = 10800

Если нет возможности внести изменения в файл php.ini, то можно сделать установку этих параметров при помощи файла .htaccess. Для этого вносим следующие строки:

php_value session.gc_maxlifetime 10800
php_value session.cookie_lifetime 10800

Кроме того, можно установить время жизни из PHP при помощи функции session_set_cookie_params. К примеру:

<?php
session_set_cookie_params(10800);
?>
disaster вне форума  
Сказали спасибо:
Fialka (26.07.2009)
Старый 28.07.2009, 22:56
#3
Заблокированный
 
Пол: Женский
Возраст: 35
Инвестирую в: Автосерфинг
Регистрация: 28.09.2007
Сообщений: 2,607
Благодарностей: 111
УГ: 0
КП: 0.000
Автор темы Ответ: Основные правила защиты сайта от взлома

А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?
Баннер: {{ slide.title }}
Ciara вне форума  
Старый 29.07.2009, 00:15
#4
Мастер
 
Пол: Мужской
Адрес: Поволжье
Инвестирую в: Свой бизнес
Регистрация: 30.08.2007
Сообщений: 2,006
Благодарностей: 423
УГ: 0
КП: 0.000
награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
А можно сделать чтобы сессия действовала неограничено...
Можно, если это разрешает настройка хостинга.

Цитата:
Сообщение от Ciara Посмотреть сообщение
...и даже когда закрываешь браузер?
Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку.
Спанч Боб вне форума  
Сказали спасибо:
Ciara (30.07.2009)
Старый 29.07.2009, 05:12
#5
Модератор
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 14.12.2006
Сообщений: 4,231
Благодарностей: 3,800
УГ: 1
подарки
награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?
теоретически можно, но не рекомендуется.
файлы сессий будут забивать диск на сервере мусором.
dkameleon вне форума  
Сказали спасибо:
Ciara (30.07.2009)
Старый 30.07.2009, 19:09
#6
Заблокированный
 
Пол: Женский
Возраст: 35
Инвестирую в: Автосерфинг
Регистрация: 28.09.2007
Сообщений: 2,607
Благодарностей: 111
УГ: 0
КП: 0.000
Автор темы Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Fialka Посмотреть сообщение
Можно, если это разрешает настройка хостинга.


Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку.
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется
Баннер: {{ slide.title }}
Ciara вне форума  
Старый 30.07.2009, 22:14
#7
Профессионал
 
Пол: Мужской
Инвестирую в: Другое
Регистрация: 18.12.2008
Сообщений: 1,294
Благодарностей: 394
УГ: 0
КП: 0.000
подарки
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется
Логически рассуждая, обрывает и сам сайт сессию чтоб мошенники (получив ваши куки сессии) не могли вывести у вас средства или наделать в вашем акке что-то плохое (от сайта конечно зависит что у вас там есть) . О вас же стараются.
Shair вне форума  
Старый 31.07.2009, 00:03
#8
Мастер
 
Пол: Мужской
Адрес: Поволжье
Инвестирую в: Свой бизнес
Регистрация: 30.08.2007
Сообщений: 2,006
Благодарностей: 423
УГ: 0
КП: 0.000
награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется
Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.
Спанч Боб вне форума  
Старый 31.07.2009, 18:23
#9
Интересующийся
 
Пол: Мужской
Регистрация: 02.09.2007
Сообщений: 90
Благодарностей: 3
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Fialka Посмотреть сообщение
Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.
Думаю что в случае когда идентификатор сессии передается в виде куки браузеру, то у куки может быть указан срок истечения - до закрытия браузера (это зависит от настроек сайта), соответственно после закрытия, кука с ним попросту удаляется.
Т.е. сайт и не знает что браузер у пользователя закрылся, просто после повторного открытия браузер перестает возвращать ид-р сессии на сайт

Последний раз редактировалось disaster; 31.07.2009 в 18:26.
disaster вне форума  
Старый 11.09.2009, 19:22
#10
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 11.09.2009
Сообщений: 13
Благодарностей: 0
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.
WSG вне форума  
Старый 13.09.2009, 14:22
#11
Любитель
 
Пол: Мужской
Инвестирую в: Другое
Регистрация: 27.10.2008
Сообщений: 228
Благодарностей: 85
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от WSG Посмотреть сообщение
Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.
А как лучше всего произвести данную проверку?
Loner11 вне форума  
Старый 14.09.2009, 11:58
#12
Премиум
Премиум
 
Аватар Rich_and_Free
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 02.11.2007
Сообщений: 4,685
Благодарностей: 291
УГ: 1
КП: 0.000
подарки
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Loner11 Посмотреть сообщение
А как лучше всего произвести данную проверку?
нанять знающего человека для прокерки
а вообще хотелось бы добавить что в оочень часто еще встречаются локальные инклюды.
т.е. код вида <?include('./web/$page.php');?> легко обойти передав значение $page='../../../../../../etc/passwd%00', успешность такой атаки зависит от настроек сервера. Большинство серверов на данный момент настраиваються не реагировать на нуль байт.
также стоит обращать внимание вообще на логику кода, т.е. ошибка в логике может выдать злоумышленнику путь к выполняемому скрипту, и, тотже локальный инклуд будет проще произвести.
но, как мне кажеться, защитить полностью веб сайт нереально, всегда есть админ который сохраняет пассы в файлах, или не удаляет письма от хостера из почты, использует простые пароли и т.д.
по поводу кукисов и сессий, дабы злоумышленник не подменил данные необходимо внимательно фильтровать переменные которые приходят от пользователя. XSS тоже очень актуальны в данный момент...
вобщем статей на данную тему написано море, стоит только поискать

Последний раз редактировалось Rich_and_Free; 14.09.2009 в 12:03.
Rich_and_Free на форуме  
Сказали спасибо:
Loner11 (14.09.2009)
Старый 15.09.2009, 00:05
#13
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 11.09.2009
Сообщений: 13
Благодарностей: 0
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Loner11 Посмотреть сообщение
А как лучше всего произвести данную проверку?
Если честно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключенном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.

Последний раз редактировалось WSG; 15.09.2009 в 12:16.
WSG вне форума  
Старый 15.09.2009, 01:08
#14
Премиум
Премиум
 
Аватар Rich_and_Free
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 02.11.2007
Сообщений: 4,685
Благодарностей: 291
УГ: 1
КП: 0.000
подарки
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от WSG Посмотреть сообщение
Если чесно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключеном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.
ознакомился с Вашим прайсом... впечатляет, но ценник завышен просто до облаков желаю удачи в поиске богатых клиентов!
Rich_and_Free на форуме  
Старый 15.09.2009, 11:05
#15
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 11.09.2009
Сообщений: 13
Благодарностей: 0
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

SaimON, не так уж ценник и высок, если платить по среднему, или если на сайте не много уязвимостей и платить поштучно. Ну а с учётом затраченного времени, эта услуга так и стоит. Конечно можно довериться школьникам, готовым выполнять подобную работу за 20$, но и результат будет соответствующим. (Это как и при создании сайтов).

Спасибо за пожелания!

P.S.
Готовы сделать скидку до 50% первым клиентам с этого форума.

Последний раз редактировалось WSG; 15.09.2009 в 11:09.
WSG вне форума  
Старый 15.09.2009, 15:16
#16
Мастер
 
Пол: Мужской
Адрес: Поволжье
Инвестирую в: Свой бизнес
Регистрация: 30.08.2007
Сообщений: 2,006
Благодарностей: 423
УГ: 0
КП: 0.000
награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

При таком сайте - цены, конечно, ппц. Я сомниваюсь что у вас найдутся клиенты...
Спанч Боб вне форума  
Старый 15.09.2009, 15:23
#17
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 11.09.2009
Сообщений: 13
Благодарностей: 0
УГ: 0
КП: 0.000
Ответ: Основные правила защиты сайта от взлома

Fialka, сайт в разработке и реально используется только для того, чтобы было куда повесить прайс и пример отчёта.
WSG вне форума  
Ответить
Войдите, чтобы оставить комментарий.
Сообщения прочитаны и/или просмотрены Сегодня, 03:55
Опции темы

Быстрый переход


Случайные темы
Аватара нет
ultramatrix.net - ultramatrix
От Roman Imukov в разделе «Список проблемных/неактивных/закрытых программ»
Аватара нет
Яндекс.Деньги создали сервис мобильной оплаты услуг без регистрации
От azeptik в разделе «Новости платежных систем»
Аватар Shalom
Европейские страны забирают свое золото из США. Чем это обернется для Америки?
От Shalom в разделе «Новости в мире финансов и инвестиций»
Аватара нет
Выборы президента обойдутся бюджету Беларуси в 100 млрд Br
От Evgehka в разделе «Новости в мире финансов и инвестиций»
Аватар OPLOTT
В России 0,018% работников с зарплатой от 1 млн рублей в месяц
От OPLOTT в разделе «Новости в мире финансов и инвестиций»
.     
Пользователей
434,370
Тем
503,938
Сообщений
12,651,040

mmgp.telegram