Защита сайта

Статус
В этой теме нельзя размещать новые ответы.
Использую mod_rewrite+регулярка проверки разрешаю только[a-z_-0-9] и все, остальных послаю на 3 числа - 4 0 4 :D
совершенно верно ..грамотно написанные правила для реврайта..практически 90% гарантии защиты...надо добавить что в 404 желательно производить разбор ошибки и количества ошибок с одного ip и если ошибки попадают под маску кацкера то заносить все его данные в бд с черной меткой...
 
+1 за masterhost, защита у них хорошая.
Даже если запись в папки запрещена, то всега есть вероятность дырявости двига. А некоторые публичные двиги позволяют использовать php в создании/изменении статических страниц(php-fusion, koobi). Защита от такого разве что в basic-auth в папке с админкой.

Есть и такой момент, в шаблоны можно php писать в некоторых движках, но тут уже отдельный разговор, тогда нужно создать еще две ветки:
1. Как защититься от угона паролей
2. Выбор безопасного движка

А если серьезно, то мелкие сайты практически не "угоняют", в основном интересуют либо уникальные разработки, либо высокий рейтинг пузомерок

Добавлено через 2 минуты
совершенно верно ..грамотно написанные правила для реврайта..практически 90% гарантии защиты...надо добавить что в 404 желательно производить разбор ошибки и количества ошибок с одного ip и если ошибки попадают под маску кацкера то заносить все его данные в бд с черной меткой...

я бы сказал 1%, через SQL injection очень редко ломают, а если и ломают, то ради добычи пароля админа. Чтобы недопустить ошибок SQL, нужно писать прямыми ручками свои программы, а мод_реврайт спасет от какера-школьника максимум
 
а мод_реврайт спасет от какера-школьника максимум

Я кажется уже говорил про приведение типов и диспетчеризацию?
Потциент, принимайте аминазим регулярно!
 
Я кажется уже говорил про приведение типов и диспетчеризацию?
Потциент, принимайте аминазим регулярно!

ну и что ты этим добьешься?

1. пути к файлам можно вычислить простым сканером, либо ручками
2. Если используются сторонние программы, через них пролезть
3. то что ты описал полезно при SQL inj и не более того
4. Изучай русский, пАциент, и вникай в суть хака, если хочешь защитить проекты.

;)
 
NewMen, так может Вы, о Магистр, желаете расписать нам чем диспетчерезация не отвечает Вашим требованиям?

Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.

Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки

Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати ;)
 
Jeurey, щас и тебя отправят вникать в «суть хака». Куда нам, ущербным, до них — великих.
 
Хочется вставить свои 5 коп в защиту исполнения пхп через eval, в частности во FUSION подобный подход перекладывает защиту модулей в СУБД! а не на файловую систему, и смею заметить по тестам (источник не могу сказать изучал около года назад) FUSION оказался одной из хак-устойчивых систем... т.к. исполнить код модулей можно было только с админправами + спец линком который получить в совокупности с печенькой проблемно, далее в новой версии введена защита доп. паролем который храниться только в СУБД.

Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).
 
Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).
Зависит от того, допущены в проектировке ошибки или нет.
 
NewMen, так может Вы, о Магистр, желаете расписать нам чем диспетчерезация не отвечает Вашим требованиям?

Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.

Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки

Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати ;)

Ну сделал ты роутерную логику, например есть аватары на сайте и фигак, не сделал проверку на расширения и содержание, вот тебе и шелл на сайте и оденешь свою роутерную структуру на одно место, я предложил самый простой способ, .htaccess в папках, где не выполняются скрипты (либо во всех папках, если делать роутерную структуру) с выключенным php движком, на папки куда не загружаются файлы ставим 755 права, также на все исполняемые файлы и шаблоны (если есть шаблонизатор), само эффективно выносить шаблоны и всю исполняемую муть на уровень выше от корневой директории. А по твоим роутерным соображениям бред ИМХО... и не такое ломали и я привел самый простой способ дырки на проекте ;)

Добавлено через 4 минуты
Хочется вставить свои 5 коп в защиту исполнения пхп через eval, в частности во FUSION подобный подход перекладывает защиту модулей в СУБД! а не на файловую систему, и смею заметить по тестам (источник не могу сказать изучал около года назад) FUSION оказался одной из хак-устойчивых систем... т.к. исполнить код модулей можно было только с админправами + спец линком который получить в совокупности с печенькой проблемно, далее в новой версии введена защита доп. паролем который храниться только в СУБД.

Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).

а вот смысл eval вообще не понятен, тупо делаешь нагрузку, делай уж сразу зазенденые срипты, он хотябы сокращает нагрузку, да и раскодить сложнее, хотя дезендер уже есть в паблике.

Мод реврай нагрузку вообще не дает на сервер, если только микросекунды.... просто кривые руки программистов, либо большая посещаемость может сказываться. Крупные проекты должны делаться в совокупности многих дополнительных программ, типа мемкеш, nginx и тд и тп
 
Ну сделал ты роутерную логику, например есть аватары на сайте и фигак, не сделал проверку на расширения и содержание
Т.е. я похож на долбоёба? :D

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [L,QSA]
С этим чо делать?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху