14 мая 2009 г.

Про безпеку ваших сайтів читайте в цій статті.

В цій статті мова піде про те, як захистити свій сайт від атаки хакерів.
Безпека сайтів і систем, відкритих для загального доступу через мережу інтернет, вже далеко не один рік є головним болем фахівців, що відповідають за їх безпеку. Вже в початковий період існування інтернету практика показала, що до погроз, що існують в цій сфері, не можна відноситися як-небудь. Так, ще в 1994 р. в результаті зламу через інтернет американського Сітібанка, який приписують російському хакерові Володимиру Льовіну, було вкрадено більше 12 млн. доларів.
А незабаром були успішно зламані і сайти НАТО, ЦРУ і Мінюсту США. Значною мірою захищеність сайтів залежить, безумовно, від правильної настройки і конфігурації сервера зі встановленою на нім операційною системою, а також додаткового мережевого устаткування. Проте, оскільки переважну більшість веб-майстрів розміщують свої сайти на віртуальному хостингу, той вплив на дані чинники виявляється за межами їх можливостей, до того ж дані питання достатньо складні, щоб розглядати їх в рамках цієї оглядової статті. Як правило, якщо ваш сайт розташований у відомого і надійного хостера, то сервера адмініструються достатньо грамотно і їх злам вимагає значних зусиль і, безумовно, вельми високої кваліфікації самих хакерів. В той же час, навіть будучи розміщеним на абсолютно захищеному сервері, сайт ніяк не застрахований від елементарних помилок, які часто допускають самі малообізнані в питаннях безпеки власники сайтів, відкриваючи своїми руками ворота для зламщиків. Отже, що ж потрібно знати, щоб зменшити небезпеку для свого сайту бути зламаним?
По-перше, найбільш стійкий до злому сайт, що складається із статичних html-сторінок. Основна небезпека для сайту виходить від встановлених на нім серверних скриптів (таких, як скрипти, написані на мовах php, perl, asp і т. д.). На жаль, у наш час багато людей, що створюють собі навіть простий сайт-візитку, часто не утрудняють себе освоєнням елементарних умінь редагування html-сторінку за допомогою візуальних редакторів і вважають за краще встановлювати сайт на CMS, щоб мати можливість вносити правки і адмініструвати сайт віддалено.
Чим представляє небезпеку будь-який скрипт? Звичайно, правильно написаний скрипт безпечний. Проте на практиці, особливо в тому випадку, якщо скрипт є складним, громіздким і створюється не одним програмістом, а декількома людьми, вельми висока вірогідність появи в цьому скрипті тих або інших помилок, які можуть бути використані для злому сайту. Окрім цього, використання громіздких скриптів робить ваш сайт більш уразливим до DDoS-атакам, про які буде сказано нижче. Тому, якщо у вас є можливість вибирати між html-сторінками і сайтом на CMS, сторіночки якого генеруються скриптом, вибирайте перший варіант.
Якщо від використання скриптів на сайті відмовитися все ж таки не можна, слід відповідально підійти до їх вибору (або написанню) і установки. Зараз існує велике число різних скриптів і двіжків для сайту - різних типів CMS, блогів, форумів, інтернет-магазинів і так далі і тому подібне Серед них зустрічаються як комерційні версії, за які потрібно платити, так і безкоштовні, які ви можете викачати і встановити на своєму сайті абсолютно вільно.
На жаль, проблеми з безпекою часто є і у тих, і у інших. Якщо ви вирішили використовувати готові скрипти, слід врахувати декілька речей. По-перше, перед тим, як використовувати вибраний скрипт, потрібно обов'язково пошукати на спеціалізованих форумах, сайтах, таких, як, наприклад antichat.ru, securitylab.ru і т. п., інформацію про стійкість даного скрипта (наприклад, форумного двіжка) до злому. Якщо ви раптом виявите, що в ньому існують які-небудь уразливості, якщо відшукаєте експлойти (тобто готові програмні коди, що використовують якусь виявлену уразливість, а скористатися таким готовим рецептом злому може будь-який школяр, що знайшов його), то це вірний сигнал, що для поставленого завдання краще вибирати який-небудь інший скрипт.
Небажано також встановлювати найсвіжіші версії скриптів, які ще не пройшли перевірку часом, - вірогідність наявності дірок в таких скриптах більша. Краще використовувати ті версії, які працюють на великій кількості сайтів вже достатньо тривалий час і не мали за цей час виявлених вразливостей (хоча і це не є стовідсотковою гарантією).
Після ж установки скрипта слід періодично заглядати на сайт, що здійснює його підтримку, - у випадку, якщо якісь вразливості в скрипті раптом будуть знайдені, там повинні бути викладені оновлення або патчи, які потрібно викачати і встановити, щоб ліквідовувати вразливість. На жаль, багато веб- майстрів часто нехтують цим, і в результаті хакери, що дізналися про виявлені вразливості, дістають можливість зламу їх сайтів.
Якщо ви пишете скрипт самостійно, слід також дотримувати обережностіь. Ключовим моментом, на який завжди потрібно звертати підвищену увагу, є обробка отримуваних скриптом даних. Це торкається як даних, що отримуються з форм, тобто методом POST, так і в адресному рядку, тобто методом GET. Слід мати на увазі, що користувач може ввести там все, що завгодно (і хакер якраз і пробуватиме це робити). Недостатня фільтрація цих даних є, мабуть, найпоширенішою помилкою в плані створення дірок в безпеці. Припустимо, є скрипт, який додає на сторінку коментар до якої-небудь статті, що вводиться користувачем через форму. Якщо в скрипті не передбачити фільтрацію даних, що вводяться, то хакер може ввести через форму код на javascript, який потрапить в код сторінки і виконуватиметься при її завантаженні (подібний метод носить назва XSS).
За допомогою такого фокусу легко зробити сторінку непрацездатною або вкрасти, наприклад, cookies адміністратора сайту, що містять пароль, і отримати, т. о., доступ до адміністраторських функцій. Сім разів потрібно перевірити скрипт, якщо на основі тих, що вводяться користувачем даних формується запит до бази даних (помилки, що часто зустрічаються, в реалізації запиту до бази дозволяють здійснити злам з допомогою т.з. SQL-інєкції), в код скрипта включаються якісь файли (напр., за допомогою директиви include), або користувачеві надається право завантажувати якісь файли на ваш сервер (за відсутності достатньої перевірки хакер може завантажити на ваш сайт shell і зробити з ним все, що завгодно).
Природно, крім турботи про відсутність вразливостей в скриптах, адміністратор сайту повинен піклуватися і про правильний підбір і збереження свого пароля, інакше решта всіх зусиль про безпеку піде прахом.
Навіть якщо ваш сайт не має абсолютно ніяких вразливостей, існує спосіб все одно вивести його з ладу. Це - т.з.
DDoS-атака. Суть подібної атаки в тому, що з великого числа комп'ютерів на ваш сайт починає поступати величезна кількість запитів, обслужити які сервер просто не в змозі. Хоча за допомогою DDoS-атаки не можна зламати сайт, можна добитися того, що він перестане працювати, і від подібного роду атаки не застраховані навіть дуже великі і відомі сайти. Хоча повністю захиститися від DDoS-атак не можна, можна поліпшити стійкість вашого сайту до них. Перш за все потрібно обмежити використання скриптів, споживаючих дуже багато ресурсів, особливо, якщо при цьому ще здійснюється і підключення до бази даних. За наявності на вашому сайті громіздкого скрипта хакер може перервати його нормальне функціонування навіть посилаючи запити з одного єдиного комп'ютера (напр., при використанні старих версій форуму phpbb його можна було "підвісити" шляхом частого звернення до функції пошуку по форуму, в нових версіях введена 15-секундна затримка).
Ну і, звичайно, якщо на ваш сайт буде проведена DDoS-атака, вам доведеться покладатися на відповідальність вашого хостера. На жаль, не всі компанії виражають готовність в таких випадках приймати всі необхідні заходи і давати відсіч, деякі можуть просто відключити ваш сайт.

Прочитати більше по цій темі...

Комментариев нет:

Отправить комментарий