MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 648,693 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все, что относится к Web-Программированию (PHP, Perl, JavaScript, MySQL, XML и т.д.)
Первый пост Опции темы
Старый 24.07.2009, 12:58
#1
Интересующийся
 
Пол: Женский
Возраст: 42
Инвестирую в: Автосерфинг
Регистрация: 26.09.2007
Сообщений: 2,983
Благодарностей: 110
Основные правила защиты сайта от взлома

Есть много способов взлома сайта, я напишу об основных:
1)Технология подлома базы (SQL-инъекция) - самая простая и достаточно распространенная технология, ее знают практически все кто знает SQL. Обезопаситься от нее можно легко и просто применив стандартную функцию PHP - mysql_real_escape_string() - данная функция полностью исключает SQL-инъекцию
2)Пробелы в строках- предполагается что пробелы в коде могут вызвать неправильные вычисление что и нужно хакеру. Защитить от них свой сайт можно применив функция вырезания пробелов trim()
3)Подмена COOKIES - технология COOKIES достаточна удобна, но стоит не забывать что все переменные массив $_COOKIES хранятся в браузере и их можно подменить (просто ввести вручную). Для защиты необходимо применять проверку (например проверять и логин и пароль а не толкьо логин). А можно воспользоваться сессией ($_SESSION) которая работает аналогично, но хранится на сервере, что полностью исключает подмену. Возможным недостатком $_SESSION может являться недостаточная функциональность, например сложность установки времени действия.
Ciara вне форума
Сказали спасибо 3 раз(а):
konan1985 (15.09.2009), Shair (24.07.2009), Vovan (29.07.2009)
Старый 25.07.2009, 19:56
#2
Интересующийся
 
Пол: Мужской
Регистрация: 01.09.2007
Сообщений: 91
Благодарностей: 3
Ответ: Основные правила защиты сайта от взлома

по поводу сессий:

Цитата:
Возможным недостатком может являться .... сложность установки времени действия.
Чтобы задать время жизни сессии в секундах в файле php.ini устанавливаем следующие параметры:

session.gc_maxlifetime = 10800
session.cookie_lifetime = 10800

Если нет возможности внести изменения в файл php.ini, то можно сделать установку этих параметров при помощи файла .htaccess. Для этого вносим следующие строки:

php_value session.gc_maxlifetime 10800
php_value session.cookie_lifetime 10800

Кроме того, можно установить время жизни из PHP при помощи функции session_set_cookie_params. К примеру:

<?php
session_set_cookie_params(10800);
?>
disaster вне форума
Сказали спасибо:
Fialka (26.07.2009)
Старый 28.07.2009, 21:56
#3
Интересующийся
 
Пол: Женский
Возраст: 42
Инвестирую в: Автосерфинг
Регистрация: 26.09.2007
Сообщений: 2,983
Благодарностей: 110
Автор темы Ответ: Основные правила защиты сайта от взлома

А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?
Ciara вне форума
Старый 28.07.2009, 23:15
#4
Мастер
 
Пол: Мужской
Адрес: Поволжье
Инвестирую в: Свой бизнес
Регистрация: 29.08.2007
Сообщений: 2,301
Благодарностей: 420

награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
А можно сделать чтобы сессия действовала неограничено...
Можно, если это разрешает настройка хостинга.

Цитата:
Сообщение от Ciara Посмотреть сообщение
...и даже когда закрываешь браузер?
Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку.
Спанч Боб вне форума
Сказали спасибо:
Ciara (30.07.2009)
Старый 29.07.2009, 04:12
#5
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 13.12.2006
Сообщений: 5,553
Благодарностей: 3,381

награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?
теоретически можно, но не рекомендуется.
файлы сессий будут забивать диск на сервере мусором.
dkameleon вне форума
Сказали спасибо:
Ciara (30.07.2009)
Старый 30.07.2009, 18:09
#6
Интересующийся
 
Пол: Женский
Возраст: 42
Инвестирую в: Автосерфинг
Регистрация: 26.09.2007
Сообщений: 2,983
Благодарностей: 110
Автор темы Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Fialka Посмотреть сообщение
Можно, если это разрешает настройка хостинга.


Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку.
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется
Ciara вне форума
Старый 30.07.2009, 21:14
#7
Профессионал
 
Пол: Мужской
Инвестирую в: Другое
Регистрация: 17.12.2008
Сообщений: 1,547
Благодарностей: 399
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется
Логически рассуждая, обрывает и сам сайт сессию чтоб мошенники (получив ваши куки сессии) не могли вывести у вас средства или наделать в вашем акке что-то плохое (от сайта конечно зависит что у вас там есть) . О вас же стараются.
Shair вне форума
Старый 30.07.2009, 23:03
#8
Мастер
 
Пол: Мужской
Адрес: Поволжье
Инвестирую в: Свой бизнес
Регистрация: 29.08.2007
Сообщений: 2,301
Благодарностей: 420

награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Ciara Посмотреть сообщение
у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется
Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.
Спанч Боб вне форума
Старый 31.07.2009, 17:23
#9
Интересующийся
 
Пол: Мужской
Регистрация: 01.09.2007
Сообщений: 91
Благодарностей: 3
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Fialka Посмотреть сообщение
Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.
Думаю что в случае когда идентификатор сессии передается в виде куки браузеру, то у куки может быть указан срок истечения - до закрытия браузера (это зависит от настроек сайта), соответственно после закрытия, кука с ним попросту удаляется.
Т.е. сайт и не знает что браузер у пользователя закрылся, просто после повторного открытия браузер перестает возвращать ид-р сессии на сайт

Последний раз редактировалось disaster; 31.07.2009 в 17:26.
disaster вне форума
Старый 11.09.2009, 18:22
#10
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 10.09.2009
Сообщений: 15
Благодарностей: 0
Ответ: Основные правила защиты сайта от взлома

Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.
WSG вне форума
Старый 13.09.2009, 13:22
#11
Любитель
 
Пол: Мужской
Инвестирую в: Другое
Регистрация: 26.10.2008
Сообщений: 329
Благодарностей: 86
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от WSG Посмотреть сообщение
Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.
А как лучше всего произвести данную проверку?
Loner11 вне форума
Старый 14.09.2009, 10:58
#12
Мастер
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 01.11.2007
Сообщений: 4,910
Благодарностей: 300
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Loner11 Посмотреть сообщение
А как лучше всего произвести данную проверку?
нанять знающего человека для прокерки
а вообще хотелось бы добавить что в оочень часто еще встречаются локальные инклюды.
т.е. код вида <?include('./web/$page.php');?> легко обойти передав значение $page='../../../../../../etc/passwd%00', успешность такой атаки зависит от настроек сервера. Большинство серверов на данный момент настраиваються не реагировать на нуль байт.
также стоит обращать внимание вообще на логику кода, т.е. ошибка в логике может выдать злоумышленнику путь к выполняемому скрипту, и, тотже локальный инклуд будет проще произвести.
но, как мне кажеться, защитить полностью веб сайт нереально, всегда есть админ который сохраняет пассы в файлах, или не удаляет письма от хостера из почты, использует простые пароли и т.д.
по поводу кукисов и сессий, дабы злоумышленник не подменил данные необходимо внимательно фильтровать переменные которые приходят от пользователя. XSS тоже очень актуальны в данный момент...
вобщем статей на данную тему написано море, стоит только поискать

Последний раз редактировалось Rich_and_Free; 14.09.2009 в 11:03.
Rich_and_Free вне форума
Сказали спасибо:
Loner11 (14.09.2009)
Старый 14.09.2009, 23:05
#13
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 10.09.2009
Сообщений: 15
Благодарностей: 0
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от Loner11 Посмотреть сообщение
А как лучше всего произвести данную проверку?
Если честно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключенном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.

Последний раз редактировалось WSG; 15.09.2009 в 11:16.
WSG вне форума
Старый 15.09.2009, 00:08
#14
Мастер
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 01.11.2007
Сообщений: 4,910
Благодарностей: 300
Ответ: Основные правила защиты сайта от взлома

Цитата:
Сообщение от WSG Посмотреть сообщение
Если чесно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключеном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.
ознакомился с Вашим прайсом... впечатляет, но ценник завышен просто до облаков желаю удачи в поиске богатых клиентов!
Rich_and_Free вне форума
Старый 15.09.2009, 10:05
#15
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 10.09.2009
Сообщений: 15
Благодарностей: 0
Ответ: Основные правила защиты сайта от взлома

SaimON, не так уж ценник и высок, если платить по среднему, или если на сайте не много уязвимостей и платить поштучно. Ну а с учётом затраченного времени, эта услуга так и стоит. Конечно можно довериться школьникам, готовым выполнять подобную работу за 20$, но и результат будет соответствующим. (Это как и при создании сайтов).

Спасибо за пожелания!

P.S.
Готовы сделать скидку до 50% первым клиентам с этого форума.

Последний раз редактировалось WSG; 15.09.2009 в 10:09.
WSG вне форума
Старый 15.09.2009, 14:16
#16
Мастер
 
Пол: Мужской
Адрес: Поволжье
Инвестирую в: Свой бизнес
Регистрация: 29.08.2007
Сообщений: 2,301
Благодарностей: 420

награды Ветеран MMGP.RU Волшебный горшочек 
Ответ: Основные правила защиты сайта от взлома

При таком сайте - цены, конечно, ппц. Я сомниваюсь что у вас найдутся клиенты...
Спанч Боб вне форума
Старый 15.09.2009, 14:23
#17
WSG
Интересующийся
 
Пол: Мужской
Инвестирую в: безопасность
Регистрация: 10.09.2009
Сообщений: 15
Благодарностей: 0
Ответ: Основные правила защиты сайта от взлома

Fialka, сайт в разработке и реально используется только для того, чтобы было куда повесить прайс и пример отчёта.
WSG вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход