Защита сайта

Question

В настоящее время я ищу веб-сайт, который был взломан в целях фишинга. По-видимому, файл PHP был введен и использовался для загрузки файлов и, возможно, для изменения прав доступа к каталогу. Я подозреваю, что это было сделано через общедоступный доступный для записи каталог или через незащищенный скрипт загрузки изображений.

Какие шаги я могу предпринять, чтобы сделать сайт максимально безопасным?

Answer 1

Самый важный шаг - восстановить код из резервной копии.Атакующие могут создать любой бэкдор для будущего использования.

Ваши журналы http_access могут, вероятно, указывать исходную точку вторжения.

Также проверьте права доступа к файлам, которые использует ваш веб-хост.Во многих случаях уязвимость заключается не в самой странице, а в хостинговой компании, не разделяющей пространство между различными клиентами (поэтому она могла распространиться от другого клиента на том же веб-хосте).

Answer 2

Две наиболее распространенные атаки, которые получают мои php-сайты, - это инъекция SQL и удаленное включение файлов. Мой IDS получает около 6 атак в день. # 1, что вы можете сделать как разработчик, всегда проверять пользовательский ввод. Никогда не передавайте пользовательский ввод (например, переменные запроса) напрямую в SQL-запрос.

Читайте о включении удаленного файла:

http://www.theprohack.com/2010/07/simple-tutorial-on-remote-file.html

Answer 3

Вопрос помечен как PHP, поэтому я предполагаю, что вашим языком на стороне сервера является PHP. Это также довольно общий вопрос, но некоторые советы

1. Если предполагается загружать только файлы изображений, убедитесь, что у файла допустимые расширение изображения и тип mime, и используйте getimagesize (). Даже если вы не принимаете только файлы изображений, проверьте расширение и тип пантомимы в белом списке разрешенных расширений и типов. Также, когда вы используете move_uploaded_file, выберите ваше собственное имя и расширение.

2. Убедитесь, что произвольные файлы не могут быть запрошены, сохраняя каталог загрузки вне корневого веб-каталога и проверяя любые данные, от которых зависят ваши запросы файлов.

Более подробная информация здесь