РЭДЛАЙН
Лучшие решения для Вас и Вашего бизнеса!
На нашем сайте вы можете получить информацию о веб-разработке, обслуживании и продвижении сайта. Интернет-маркетинге. SEO (поисковой оптимизации). Контекстной и медийной рекламе в Интернете. SMM. Регистрации доменов и хостинговых услугах. И современном дизайне сайтов. Вообщем того что касается веб-разработки, а также много другой полезной информации из мира интернета, бизнеса и интернет-технологий...
Создаем доступные и современные сайты, которые работают! Обслуживаем и эффективно продвигаем интернет-проекты с 2006 года!
Главная Web сайты Как добиться безопасности сайтов


Как добиться безопасности сайтов

В материале освещаются основные варианты уязвимости различных веб-приложений, а также способы их профилактики. Все уязвимости можно разделить на три группы:

- Организационная. Причина – человеческий фактор. Такая уязвимость может быть устранена при помощи соблюдения некоторых правил работы с веб-сайтом или путем использования специального программного обеспечения.
- Проектирование. Эта уязвимость относится непосредственно к приложению. Для устранения используется учет возможности атаки во время разработки. Большая часть подобных уязвимостей можно устранить на уровне базового функционала, благодаря чему минимизируется человеческий фактор.
- Эксплуатация. В этом случае атака может быть осуществлена на уровне инфраструктуры или сервера. Решать подобные уязвимости предстоит администраторам сайтов.

Аутентификация и доступ к веб-сайту

1. Нестойкие пароли.
Относятся к типу организационной уязвимости.

Использование максимально простых паролей (номер телефона, имя, дата рождения, последовательный набор цифр и т. п.) – это самый короткий путь для хакеров, которые могут получить доступ к управлению сайтом, просто перебирая пароли. Для безопасности рекомендуется применять пароли, полученные путем автоматического генерирования. Единственное условие – человек должен суметь его запомнить, потому что запись на бумажке – не лучший вариант.

Если пароль придумывает человек, можно посоветовать сложные мнемонические пароли – например, начальные буквы известной песни в другой раскладке клавиатуры, причем несколько букв следует изменить на определенные символы или цифры.

Некоторые считают, что всех перехитрили, когда ставят пароль по умолчанию, например, такой: admin/admin или root/ничего.

Неплохой вариант – заставлять менять временные пароли во время первого входа.

2. Перехват пароля.
Относится к типу организационной и эксплуатационной уязвимости.

Ваш пароль могут перехватить в момент его передачи от пользователя к серверу. Чтобы этого не произошло, при работе с сервером следует использовать защищенное соединение – например, https или ftps.

Далее, перехват пароля может произойти с использованием «фишингового» сайта. Что это значит? Сайт в браузере пользователя незаметно заменяется на идентичный. После того, как данные введены в форму входа, хакер становится владельцем вашего пароля. Как можно обезопаситься? Нужно иметь «подписанный сертификат сайта». В этом случае компания подтверждает подлинность сайта, о том же свидетельствует и подписанный сертификат. Такая услуга является платной – примерная стоимость составляет около 800 долларов в год и зависит от таких факторов, как престиж компании, которая поставляет услуги, и степень защиты. К сожалению, не редкость сайты, владельцы которых не считают нужным оформить подобающим образом сертификат.

3. Кража пароля. Принадлежит к типу организационной уязвимости.

Ваш пароль могут украсть, воспользовавшись вредоносным ПО или социальной инженерией. Чтобы обезопасить себя от подобной кражи, достаточно придерживаться некоторых правил:

* Не хранить и не передавать выбранный пароль в открытом виде: не отправлять его по электронной посте, по скайпу или через ICQ. Это не нуждается в разъяснениях: вы понимаете, что переданный таким образом пароль сохраняется в архиве почты или в истории месенджера.
* Применять разнообразные антивирусные ПО.
* Не запоминать выбранные пароли в FTP клиенте или в браузере. Существуют вирусы, которые внедряют в сайт вредоносный код, воспользовавшись сохраненными FTP паролями.
* Время от времени пароль необходимо менять.

Важно: каждый пользователь, который имеет доступ к сайту, должен завести индивидуальный логин и пароль. В таком случае, даже после увольнения сотрудника, можно быть уверенным в безопасности и защите информации.

Веб-студии весьма сильно страдают от оседающих в архивах и в хистори паролей от клиентских веб-сайтов. Еще один неприятный момент – мастер-пароль, являющийся достоянием разработчиков, менеджеров, их близких, а также всех, кто когда-либо работал в этой компании.

Чтобы избежать подобных неприятностей, можно перенести авторизацию на сервер студии: каждый разработчик не знает никаких паролей, кроме собственного, а разрешения на вход можно получить централизованно. Кроме того, такой подход позволяет видеть, кто именно предпринял какое-либо действие – например, удалил с сайта новость.

4. Проактивная защита.
Относится к типу проектирования.

Обезопаситься необходимо на уровне архитектуры веб-сайта, тогда утеря пароля будет нестрашна.

Ограничения по IP. Необходимо ограничить по IP доступ в административный интерфейс: следует сделать так, чтобы войти в него можно было только из внутренней сети компании. Если необходимо работать дома, в командировке и т. п., в обязательном порядке указывается – кто именно, в какой промежуток времени и с какой целью работал с сайтом.

Captcha. Использование символов с картинок, или Captcha, значительно снижает риск проникновения в административный интерфейс вирусов или каких-то иных вредоносных программ.

Одноразовые пароли. Можно использовать введение временного дополнительного пароля. В этом случае для каждого конкретного пользователя следует сгенерировать матрицу, состоящую их случайного набора чисел, а во время входа в интерфейс нужно ввести не менее 2 чисел, расположенных в заданном столбце либо колонке. Такой способ является достаточно эффективным и сравнительно недорогим. Благодаря подобному методу снижается опасность перехвата пароля – ведь злоумышленнику известна лишь часть матрицы.

Клиентские сертификаты. Доступ разрешен только тем пользователям, которые имеют клиентский сертификат. Большое значение имеют персональные данные пользователей. Обязательно нужно выключать автоматическое заполнение полей, предназначенные для введения личных данных посетителей. Еще один момент: не следует хранить данные пользователей там же, где и данные сайтов.

Уязвимости приложения

В этом разделе мы рассмотрим некоторые основные уязвимости, которым подвержен код приложения, а также способы их ликвидации и сведение к минимуму во время разработки «человеческого фактора».

1. SQL injection. Категория: проектирование.

Эта уязвимость дает возможность хакеру изменить запрос к базе данных, который используется обычно. Применяя эту уязвимость, злоумышленник может скачать из базы не предназначенные для него данные, что даст ему возможность войти, к примеру, в административный интерфейс. Еще взломщик может подменить информацию в БД – что-нибудь удалить или добавить, тем самым нанеся серьезный вред работе компании. Чтобы устранить указанную уязвимость, необходимо при сборке запроса экранировать данные. Очень хорошо, если изначально устранена возможность напрямую из кода обращаться к базе. Нужно создать ситуацию, когда работа с БД будет возможна только через специальную библиотеку, которая будет осуществлять требуемые преобразования автоматически.

2. Code injection. Категория: проектирование.

Уязвимость становится возможной, если исполняемый код формируется или подключается с использованием данных, которые вводит пользователь. Чтобы устранить подобную уязвимость, требуется провести дополнительные проверки, использовать специализированные библиотеки и выполнить экранирование.

3. Межсайтовое выполнение сценария. Категория: проектирование.

Эта уязвимость заключается во внедрении взломщиком на сайт html или javascript кода. Причина – недостаточная проверка и преобразование введенной информации. Воспользовавшись данной уязвимостью, злоумышленник может изменить внешний вид веб-сайта до неузнаваемости и даже «украсть авторизацию» - то есть проникнуть в интерфейс, не зная пароля. Для устранения следует принять некоторые меры: экранировать данные при выводе, а лучше всего работает автоматическое экранирование всей информации, которая выводится на страницу.

4. Межсайтовые запросы.
Категория: проектирование.

Если вы подверглись данной атаке, то вам угрожает следующее: вы начнете совершать какие-то совершенно ненужные и даже вредные для безопасности сайта действия, сами о том не подозревая. Например, сайт взломщика содержит картинку, адрес которой – вот интересно! – полностью совпадает с адресом удаления раздела. Как только вы попадаете на эту страницу, ваш браузер, естественно, запрашивает URL картинки. Следующий этап – если вы авторизованы в системе, вы можете удалить нужный раздел, даже не подозревая об этом. Чтобы решить эту проблему, необходимо ввести механизм подтверждения, который подразумевает, что вы можете что-то сделать только во время перехода с конкретной страницы. На этой страницы нужно сформировать ссылку с временным кодом, который является уникальным – его валидность должна проверяться страницей, на которой вы и совершаете некое действие.

5. Доступ к скрытым файлам.
Категория: проектирование.

Воспользовавшись этой уязвимостью, взломщик получает возможность прочитать на сервере произвольный файл – для этого ему достаточно сформировать запрос особым образом. Решается подобная уязвимость при помощи проверки корректности имени файла при запросе.

6. Выполнение загружаемых файлов. Категория: эксплуатация.

Загружаемые на сервер файлы могут быть выполнены. Такая уязвимость дает возможность взломщику, у которого есть доступ в администраторский интерфейс, воспользоваться им и получить полный доступ к системе. В качестве мер предосторожности обратите внимание на следующие: администратор сервера разрешает записи лишь в определенные директории на сервере; он же должен запретить выполнять скрипты в этой директории.

7. Раскрытие кода.
Категория: эксплуатация/проектирование.

Воспользовавшись доступом к исходному коду, а также к разработческим и системным скриптам, преступник может получить дополнительную информацию, нужную ему для взлома.

- Нахождение системных, разработческих и отладочных скриптов в открытом доступе;
- Нахождение в открытом доступе служебных скриптов: программы, которые осуществляются с какой-то периодичностью, вполне могут быть запущены снаружи, благодаря чему может возникнуть большая нагрузка и повлечь за собой выход сайта из строя;
- Исходный код может быть доступен для просмотра. При чиной такой уязвимости часто бывает неправильно настроенная система контроля версий.

8. Переполнение диска.
Категория: проектирование.

Воспользовавшись слабой проверкой входных данных или неправильной организацией кэширования, взломщик может расположить на диске или в базе данных массу лишней информации. Это действие приведет к замедлению работы, а если закончится место, система может выйти из строя.

Бесполезные запросы: взломщик помещает на сайте код, который отправляет форму обратной связи, либо использует собственное обращение к данному URL. Такая атака приводит к тому, что жесткий диск или база данных сайта наполняется информацией. Помимо прочих неприятных последствий, нивелируется достоверность проведенного опроса и происходит дезорганизация службы поддержки. Чтобы устранить данную уязвимость, следует включать метки или captcha.

Разрастание кэша. Чаще всего результат сложных выборок сохраняется в памяти или на диске, то есть кэшируется. Делается это с целью сэкономить ресурсы. Формируется кэш на основе входного запроса, иногда – с введением дополнительных параметров. Это не только забивает память и диск, но и нивелирует позитивный эффект кэширования. Чтобы решить подобную уязвимость, следует перед запросом кэша или кэшированием более тщательно проверять данные.

9. Псевдокриптография.

Многие пользователи убеждены, что случайное число и md5 хэш – типичный случай криптографии. В действительности это ошибка: md5 лучше не использовать в целях безопасности. Относительно случайных последовательностей: довольно часто они являются случайными лишь на первый взгляд, а это значит, что ими нельзя пользоваться, к примеру, для карт оплаты.

10. Конфигурация сервера.
Категория: эксплуатация.

Для обеспечения безопасности необходима правильная конфигурация сервера, а также постоянное обновление программного обеспечения. Грамотный администратор не пропустит сообщения об уязвимости и обновлении ПО – ведь изо дня в день появляются все новые уязвимости и ошибки.

11. DDOS. Категория: эксплуатация/проектирование.

Эта уязвимость считается одной из самых сложных относительно предотвращения атак. Что происходит? На сервер идет поток запросов, вследствие чего ресурсы заканчиваются, сервер не справляется с возросшей нагрузкой. Такая атака чаще всего направлена из сети компьютеров, зараженных вирусом. Она выполняется при помощи специально созданных программ – умельцы быстро модифицируют их под определенные задачи. DDOS атака может быть куплена любым, кто в состоянии за нее заплатить. Что касается цен – сегодня они держатся в пределах 100-150 долларов за один день атаки. Такие атаки можно распределить в зависимости от уровня грубости:

- Переполнение канала. За счет огромного количества запросов ресурсы сетевого подключения быстро исчерпываются. Чтобы этого избежать, необходимо приобрести более широкий канал (достаточно скорости 10GBps), плюс к этому рекомендуется иметь еще один канал - резервный. Ресурсы сервера можно оградить, фильтруя по порту и используя аппаратные решения.
- SYN-флуд. На особый TCP пакет c флагом SYN ваш сервер, как ожидается, должен ответить пакетом SYN+ACK, а потом дожидаться ответа. Если произведена DOS атака – ответа можно не дождаться. Однако сервер этого не знает и продолжает ждать. Вариант - ‘SYS-reflection` атака: это значит, что SYN пакет отправляется третьему серверу, при этом указывается поддельный IP адрес. В результате с периодичностью в несколько минут будет поступать SYN/ACK пакет. Это необходимо помнить при блокировании по IP. Что делать в таком случае? Вот решения: применение SYN-COOKIE; можно ограничить время, которое тратится на ожидание ответа, а также увеличить число одновременных подключений; можно установить быстрый фронтенд, призванный заниматься обработкой таких запросов – таким образом, сервер приложений освободится; можно вычислить IP адреса, являющиеся проблемными.
- HTTP-флуд. Возрастает нагрузка на сервер приложений. Как решаем? Во-первых, следует отделить реальных пользователей от «ботов», для чего используется установка флагов средствами flash или javascript, captchа, а также установка COOKIE. Во-вторых, хорошо работают специализированные аппаратные и программные средства, которые отслеживают аномалии трафика. В-третьих, пригодятся сервисы по очистке трафика – они отсеивают вредные запросы. Если постараться, можно найти бесплатные сервисы.

Как добиться безопасности сайтов | | 2010-07-21 01:49:58 | | Статьи о web сайтах | | В материале освещаются основные варианты уязвимости различных веб-приложений, а также способы их профилактики. Все уязвимости можно разделить на три группы: - Организационная. Причина – человеческий | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Дайджест новых статей по интернет-маркетингу на ваш email
Подписаться

Продающие сайты "под ключ"!

Наши сайты зарабытывают вам деньги. Landing-page. Эффективные продающие сайты точно в срок и под ключ! Всего от 28300 рублей
Подробнее...

Интернет-магазины и каталоги "под ключ"!

Эффективные и удобные инструменты торговли (электронной торговли) "под ключ". Продают, даже когда вы спите! Всего от 52700 рублей
Подробнее...

Комплексный интернет-маркетинг и продвижение сайтов

Максимальную эффективность дает не какой-то конкретный метод, а их комбинация. Комбинация таких методов и называется комплексным интернет-маркетингом. Всего от 10000 рублей в месяц
Подробнее...

Реклама в Yandex и Google

Контекстная реклама нацелена лишь на тех пользователей, которые непосредственно заинтересованы в рекламе Ваших услуг или товаров. Всего от 10000 рублей в месяц
Подробнее...

Social media marketing (SMM) — продвижение в социальных медиа

Реклама в VK, Однокласcниках и на Mail.ru Создание, ведение и раскрутка групп и реклама ВКонтакте и Facebook. Всего от 10000 рублей в месяц
Подробнее...

Приглашаем к сотрудничеству рекламные агентства и веб-студии!

Внимание Акция! Приглашаем к сотрудничеству рекламные агентства и различные веб-студии России! Индивидуальные и взаимовыгодные условия сотрудничества.
Подробнее...

Ускоренная разработка любого сайта от 5 дней!

Внимание Акция! Ускоренная разработка любого сайта! Ваш сайт будет готов за 5-10 дней. Вы можете заказать разработку любого сайта "под ключ" за 5-10 рабочих дней, с доплатой всего 30% от его стоимости!
Подробнее...

Ждем новых друзей!

Внимание Акция! Ждем новых друзей! Скидка 10% на услуги по созданию и(или) обслуживанию вашего сайта при переходе к нам от другого разработчика.
Подробнее...

Приведи друга и получи скидку!

Внимание Акция! Приведи друга и получи скидку! Скидка 10% на услуги по созданию и(или) обслуживанию вашего сайта, если клиент заказавший наши услуги, пришел по Вашей рекомендации.
Подробнее...

1 2 3 4 5 6 7 8 9

Новые статьи и публикации



Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!

Качественное и объемное представление своего бизнеса в Сети требуется любой растущей коммерческой структуре, стремящейся увеличить продажи, именно по этой причине среди наших клиентов как крупные так и небольшие компании во многих городах России и ближнего зарубежья.
Как мы работаем

Заявка
Позвоните или оставьте заявку на сайте.


Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!


Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.


Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.


Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.

Остались еще вопросы? Просто позвоните и задайте их специалистам
с 2:30 до 11:30 по Мск, звонок бесплатный
Или напишите нам в WhatsApp
с 9:30 до 18:30 по Хабаровску
Или напишите нам в WhatsApp
Веб-студия и агентство комплексного интернет-маркетинга «РЭДЛАЙН» © 2006 - 2024

Профессиональная Веб-разработка. Создание сайтов и магазинов "под ключ" , а также по всей России и зарубежью. Продвижение и реклама. Веб-дизайн. Приложения. Сопровождение. Модернизация. Интеграции. Консалтинг. Продвижение и реклама. Комплексный Интернет-маркетинг.

Оставьте заявку / Задайте вопрос

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Заказать услугу

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Обратный звонок

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Подписка на дайджест новостей

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Заказать услуги со скидкой \ Бесплатная консультация







КАКИЕ УСЛУГИ ВАС ИНТЕРЕСУЮТ?

КАКИЕ ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ ПОТРЕБУЮТСЯ?

Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных
×

Высококачественные сайты по доступным ценамМы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!

Что нужно сделать, чтобы заказать создание сайта у нас?

Ну для начала вам нужно представлять (хотя бы в общих чертах), что вы хотите получить от сайта и возможно каким вы хотите его видеть. А дальше все просто. Позвоните нам или оставьте заявку нашим менеджерам, чтобы они связались с Вами, проконсультировали и помогли определиться с подходящим именно Вам сайтом по цене, сроку, дизайну или функционалу. Если вы все ещё не уверены, какой сайт вам нужен, просто обратитесь к нам! Мы вместе проанализируем вашу ситуацию и определим максимально эффективный для вас вариант.

Быстрый заказ \ Консультация

Для всех тарифных планов на создание и размещение сайтов включено:

Комплексная раскрутка сайтов и продвижение сайта Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...

Комплексная раскрутка работает в рамках стратегии развития вашего бизнеса в сети и направлена

Быстрый заказ \ Консультация

ЭФФЕКТИВНОЕ СОПРОВОЖДЕНИЕ (ПОДДЕРЖКА, ОБСЛУЖИВАНИЕ) САЙТОВ

Полный комплекс услуг по сопровождению сайтаМы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.

Передав свой сайт для поддержки в руки наших специалистов, Вы избавитесь от проблем, связанных с обновлением информации и контролем за работой ресурса.

Наша компания осуществляет техническую и информационную поддержку уже имеющихся сайтов. В понятие «поддержка сайтов» также входят услуги администрирования сайтов, обновления сайтов и их модернизация.

Быстрый заказ \ Консультация

Редизайн сайта и Адаптивный веб дизайн

Современный, технологичный, кроссбраузерный ... Профессиональный дизайн сайтов и веб-приложений

Редизайн сайта — создание нового дизайна сайта с целью улучшения внешнего вида, функциональности и удобства использования. Редизайн сайта – это способ преобразовать проект к извлечению из него максимальной отдачи и средств. В современном мире задачами редизайна является поднятие существующего сайта на новый уровень для внедрения новых технологий, при этом сохраняя многолетний сформировавшийся опыт и успешные решения компаний.

Адаптивный дизайн сайтов и веб-приложений

Все больше людей пользуются мобильными устройствами (телефонами, планшетами и прочими) для посещения Интернета, это не для кого уже не новость. Количество таких людей в процентном отношении будет только больше с каждым годом, потому что это удобно и по многим другим причинам.

На сегодняшний день адаптивный дизайн является стандартным подходом при разработке новых сайтов (или веб-приложений) и в идеале ваш сайт должен смотреться и функционировать так, как вы задумывали, на всём разнообразии устройств.

Быстрый заказ \ Консультация

Контекстная реклама в Яндекс и GoogleКонтекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.

Реклама в поисковых системах Яндекс и Google. Профессиональная настройка рекламы и отслеживание эффективности!

Рекламные объявления показываются именно тем пользователям, которые ищут информацию о Ваших товарах или услугах, поэтому такая реклама не является навязчивой и раздражающей в отличие от других видов рекламы, с которыми мы сталкиваемся на телевидении или радио. Контекстная реклама нацелена лишь на тех пользователей, которые непосредственно заинтересованы в рекламе Ваших услуг или товаров.

Быстрый заказ \ Консультация

Скидка

1500 руб.
Заинтересовались услугами создания, обслуживания или продвижения вашей компании в Интернете?!
Получите 1500 руб.
за он-лайн заявку
Предложение ограничено.

После получения заявки с Вами свяжутся наши специалисты и уточнят все детали по интересующей вас услуге.
«Нажимая на кнопку "Получить скидку", я даю согласие на обработку персональных данных»
×
Получите 1500 рублей!
×
×