|
|
|
|
|
То и дело читаю как то у одного, то у другого взломали сайт. Причем речи идет иногда о очень серьезных ресурсах. Буду рад любой информации об уязвимостях, способах взлома и защите от него.
Интересует все касающееся этого вопроса: статьи, учебники, блоги, форумы. |
|
|
|
|
|
Обновлят регулярно движки, плагины, браузеры, виндовс.
Ставить и обновлять антивирусник и фаервол.
Не переходить по неизвестым ссылкам в аськах и вконткактах.
Не делать везде один и тот же пароль.
Делать пароль из рандомных букв, цифр и разного регистра.
Не хранить пароли от фтп и почты в программах через которые пользуешься фтп и почтой соответственно.
Ещё можешь заказать аудит у хакеров. Поискать на хак бордах можешь. Есть команды которые специализируются на этом и за деньги проверят твой сайт на уязвимости.
Это даст кое какую защиту. |
|
|
|
|
|
| А где можно потестить сайт на уязвимости? |
|
|
|
|
|
| Скрытый пост. Для просмотра требуется 500 сообщений. |
|
|
|
|
|
помимо прочего надо хорошо настроить php и apache, тк большинство движков работают все же на этой связке.
display_errors = off Запрет вывода ошибок.
Safe mode = on включенный безопасный режим
также хорошо еще настраивать same_mode_gid проверяет права доступности на чтение запрашиваемого файла для текущего юзера
и safe_mode_exec_dir исполнение файлов ограничивается текущей дирой - выше нельзя
после этого пользователь под которым запущен apache не сможет прочитать не принадлежащие ему файлы (/etc/passwd и пр.)
url_fopen = off - запретить подключение ссылок
указывать директорию выше которой бажный файл не сможет подключить другие
disable_functions запретить для php исполнение системных функций system, passthru, eval и пр.
Еще есть такое наблюдение.
незнаю почему но многие вебмастера разрешают даже не привилигированным пользователям
mysql базы работать с файлами, читать базу mysql, системные таблицы.
Мой совет - запрещайте вообще любому пользователю кроме root иметь доступ к файлам и системным таблицам,
тк в них содержится вся структура базы, и если хакер через mysql инъекцию сможет прочесть данные из information_schema.* то считай пиздец - база слита.
В современном мире идет борьба именно за базы в большей степени.
В идеале каждому пользователю надо разрешать читать только его таблицы.
Вот вроде навскидку все - но если вы все это сделаете то на 80-90% обезопасите свой сайт + то что сказал sydoow |
|
|
|
|
|
johndoe, 
Ещё, если на вашем сайте контент не юзер-дженирейтед, то можно убрать права на запись пользователю, под которым селектится БД. Вообще оставить ему только возможность селектить её) |
|
|
|
|
|
|
|
|
