АРМАДА
Защита сайта.
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

ashiko
V.I.P.
Зарегистрирован: 02.08.2010
Сообщений: 3746
Обратиться по нику
# Добавлено:Пн Авг 22, 2011 3:03 pmДобавить в избранноеОтветить с цитатой
То и дело читаю как то у одного, то у другого взломали сайт. Причем речи идет иногда о очень серьезных ресурсах. Буду рад любой информации об уязвимостях, способах взлома и защите от него.

Интересует все касающееся этого вопроса: статьи, учебники, блоги, форумы.

sydoow
V.I.P.
Зарегистрирован: 29.06.2007
Сообщений: 8213
Обратиться по нику
# Добавлено:Пн Авг 22, 2011 4:50 pmОтветить с цитатой
Обновлят регулярно движки, плагины, браузеры, виндовс.
Ставить и обновлять антивирусник и фаервол.
Не переходить по неизвестым ссылкам в аськах и вконткактах.
Не делать везде один и тот же пароль.
Делать пароль из рандомных букв, цифр и разного регистра.
Не хранить пароли от фтп и почты в программах через которые пользуешься фтп и почтой соответственно.
Ещё можешь заказать аудит у хакеров. Поискать на хак бордах можешь. Есть команды которые специализируются на этом и за деньги проверят твой сайт на уязвимости.

Это даст кое какую защиту.

ashiko
V.I.P.
Зарегистрирован: 02.08.2010
Сообщений: 3746
Обратиться по нику
# Добавлено:Вт Авг 23, 2011 7:32 amОтветить с цитатой
А где можно потестить сайт на уязвимости?

deBrain
V.I.P.
Зарегистрирован: 03.06.2010
Сообщений: 1569
Обратиться по нику
# Добавлено:Вт Авг 23, 2011 8:36 amОтветить с цитатой
Скрытый пост. Для просмотра требуется 500 сообщений.
Правильно вкладываем свободные средства в ПАММ
Правильный хостинг: DigitalOcean

johndoe
Опытный
Зарегистрирован: 25.01.2008
Сообщений: 224
Обратиться по нику
# Добавлено:Вт Авг 23, 2011 10:20 amОтветить с цитатой
помимо прочего надо хорошо настроить php и apache, тк большинство движков работают все же на этой связке.
display_errors = off Запрет вывода ошибок.
Safe mode = on включенный безопасный режим
также хорошо еще настраивать same_mode_gid проверяет права доступности на чтение запрашиваемого файла для текущего юзера
и safe_mode_exec_dir исполнение файлов ограничивается текущей дирой - выше нельзя
после этого пользователь под которым запущен apache не сможет прочитать не принадлежащие ему файлы (/etc/passwd и пр.)
url_fopen = off - запретить подключение ссылок
указывать директорию выше которой бажный файл не сможет подключить другие
disable_functions запретить для php исполнение системных функций system, passthru, eval и пр.
Еще есть такое наблюдение.
незнаю почему но многие вебмастера разрешают даже не привилигированным пользователям
mysql базы работать с файлами, читать базу mysql, системные таблицы.
Мой совет - запрещайте вообще любому пользователю кроме root иметь доступ к файлам и системным таблицам,
тк в них содержится вся структура базы, и если хакер через mysql инъекцию сможет прочесть данные из information_schema.* то считай пиздец - база слита.
В современном мире идет борьба именно за базы в большей степени.
В идеале каждому пользователю надо разрешать читать только его таблицы.
Вот вроде навскидку все - но если вы все это сделаете то на 80-90% обезопасите свой сайт + то что сказал sydoow

deBrain
V.I.P.
Зарегистрирован: 03.06.2010
Сообщений: 1569
Обратиться по нику
# Добавлено:Вт Авг 23, 2011 2:42 pmОтветить с цитатой
johndoe, :thup:
Ещё, если на вашем сайте контент не юзер-дженирейтед, то можно убрать права на запись пользователю, под которым селектится БД. Вообще оставить ему только возможность селектить её)
Правильно вкладываем свободные средства в ПАММ
Правильный хостинг: DigitalOcean
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры