совершенно верно ..грамотно написанные правила для реврайта..практически 90% гарантии защиты...надо добавить что в 404 желательно производить разбор ошибки и количества ошибок с одного ip и если ошибки попадают под маску кацкера то заносить все его данные в бд с черной меткой...Использую mod_rewrite+регулярка проверки разрешаю только[a-z_-0-9] и все, остальных послаю на 3 числа - 4 0 4
Защита сайта
- Автор темы a_n_d_y
- Дата начала
- Статус
almary
Постоялец
- Регистрация
- 1 Апр 2006
- Сообщения
- 93
- Реакции
- 164
Есть и такой момент, в шаблоны можно php писать в некоторых движках, но тут уже отдельный разговор, тогда нужно создать еще две ветки:
1. Как защититься от угона паролей
2. Выбор безопасного движка
А если серьезно, то мелкие сайты практически не "угоняют", в основном интересуют либо уникальные разработки, либо высокий рейтинг пузомерок
Добавлено через 2 минуты
я бы сказал 1%, через SQL injection очень редко ломают, а если и ломают, то ради добычи пароля админа. Чтобы недопустить ошибок SQL, нужно писать прямыми ручками свои программы, а мод_реврайт спасет от какера-школьника максимум
admLoki
генератор случайного PHP
- Регистрация
- 14 Сен 2006
- Сообщения
- 481
- Реакции
- 104
Я кажется уже говорил про приведение типов и диспетчеризацию?
Потциент, принимайте аминазим регулярно!
almary
Постоялец
- Регистрация
- 1 Апр 2006
- Сообщения
- 93
- Реакции
- 164
ну и что ты этим добьешься?
1. пути к файлам можно вычислить простым сканером, либо ручками
2. Если используются сторонние программы, через них пролезть
3. то что ты описал полезно при SQL inj и не более того
4. Изучай русский, пАциент, и вникай в суть хака, если хочешь защитить проекты.
Jeurey
Хранитель порядка
- Регистрация
- 13 Сен 2006
- Сообщения
- 419
- Реакции
- 614
NewMen, так может Вы, о Магистр, желаете расписать нам чем диспетчерезация не отвечает Вашим требованиям?
Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.
Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки
Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати
Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.
Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки
Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати
Atec
Мастер
- Регистрация
- 28 Апр 2007
- Сообщения
- 296
- Реакции
- 32
Хочется вставить свои 5 коп в защиту исполнения пхп через eval, в частности во FUSION подобный подход перекладывает защиту модулей в СУБД! а не на файловую систему, и смею заметить по тестам (источник не могу сказать изучал около года назад) FUSION оказался одной из хак-устойчивых систем... т.к. исполнить код модулей можно было только с админправами + спец линком который получить в совокупности с печенькой проблемно, далее в новой версии введена защита доп. паролем который храниться только в СУБД.
Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).
Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).
admLoki
генератор случайного PHP
- Регистрация
- 14 Сен 2006
- Сообщения
- 481
- Реакции
- 104
Зависит от того, допущены в проектировке ошибки или нет.
almary
Постоялец
- Регистрация
- 1 Апр 2006
- Сообщения
- 93
- Реакции
- 164
NewMen, так может Вы, о Магистр, желаете расписать нам чем диспетчерезация не отвечает Вашим требованиям?
Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.
Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки
Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати
Ну сделал ты роутерную логику, например есть аватары на сайте и фигак, не сделал проверку на расширения и содержание, вот тебе и шелл на сайте и оденешь свою роутерную структуру на одно место, я предложил самый простой способ, .htaccess в папках, где не выполняются скрипты (либо во всех папках, если делать роутерную структуру) с выключенным php движком, на папки куда не загружаются файлы ставим 755 права, также на все исполняемые файлы и шаблоны (если есть шаблонизатор), само эффективно выносить шаблоны и всю исполняемую муть на уровень выше от корневой директории. А по твоим роутерным соображениям бред ИМХО... и не такое ломали и я привел самый простой способ дырки на проекте
Добавлено через 4 минуты
а вот смысл eval вообще не понятен, тупо делаешь нагрузку, делай уж сразу зазенденые срипты, он хотябы сокращает нагрузку, да и раскодить сложнее, хотя дезендер уже есть в паблике.
Мод реврай нагрузку вообще не дает на сервер, если только микросекунды.... просто кривые руки программистов, либо большая посещаемость может сказываться. Крупные проекты должны делаться в совокупности многих дополнительных программ, типа мемкеш, nginx и тд и тп
Jeurey
Хранитель порядка
- Регистрация
- 13 Сен 2006
- Сообщения
- 419
- Реакции
- 614
- Статус