Защита сайта

Статус
В этой теме нельзя размещать новые ответы.

serjinio

Гуру форума
Регистрация
10 Май 2007
Сообщения
439
Реакции
50
Использую mod_rewrite+регулярка проверки разрешаю только[a-z_-0-9] и все, остальных послаю на 3 числа - 4 0 4 :D
совершенно верно ..грамотно написанные правила для реврайта..практически 90% гарантии защиты...надо добавить что в 404 желательно производить разбор ошибки и количества ошибок с одного ip и если ошибки попадают под маску кацкера то заносить все его данные в бд с черной меткой...
 

almary

Постоялец
Регистрация
1 Апр 2006
Сообщения
93
Реакции
164
+1 за masterhost, защита у них хорошая.
Даже если запись в папки запрещена, то всега есть вероятность дырявости двига. А некоторые публичные двиги позволяют использовать php в создании/изменении статических страниц(php-fusion, koobi). Защита от такого разве что в basic-auth в папке с админкой.

Есть и такой момент, в шаблоны можно php писать в некоторых движках, но тут уже отдельный разговор, тогда нужно создать еще две ветки:
1. Как защититься от угона паролей
2. Выбор безопасного движка

А если серьезно, то мелкие сайты практически не "угоняют", в основном интересуют либо уникальные разработки, либо высокий рейтинг пузомерок

Добавлено через 2 минуты
совершенно верно ..грамотно написанные правила для реврайта..практически 90% гарантии защиты...надо добавить что в 404 желательно производить разбор ошибки и количества ошибок с одного ip и если ошибки попадают под маску кацкера то заносить все его данные в бд с черной меткой...

я бы сказал 1%, через SQL injection очень редко ломают, а если и ломают, то ради добычи пароля админа. Чтобы недопустить ошибок SQL, нужно писать прямыми ручками свои программы, а мод_реврайт спасет от какера-школьника максимум
 

admLoki

генератор случайного PHP
Регистрация
14 Сен 2006
Сообщения
481
Реакции
104
а мод_реврайт спасет от какера-школьника максимум

Я кажется уже говорил про приведение типов и диспетчеризацию?
Потциент, принимайте аминазим регулярно!
 

almary

Постоялец
Регистрация
1 Апр 2006
Сообщения
93
Реакции
164
Я кажется уже говорил про приведение типов и диспетчеризацию?
Потциент, принимайте аминазим регулярно!

ну и что ты этим добьешься?

1. пути к файлам можно вычислить простым сканером, либо ручками
2. Если используются сторонние программы, через них пролезть
3. то что ты описал полезно при SQL inj и не более того
4. Изучай русский, пАциент, и вникай в суть хака, если хочешь защитить проекты.

;)
 

Jeurey

Хранитель порядка
Регистрация
13 Сен 2006
Сообщения
419
Реакции
614
NewMen, так может Вы, о Магистр, желаете расписать нам чем диспетчерезация не отвечает Вашим требованиям?

Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.

Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки

Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати ;)
 

admLoki

генератор случайного PHP
Регистрация
14 Сен 2006
Сообщения
481
Реакции
104
Jeurey, щас и тебя отправят вникать в «суть хака». Куда нам, ущербным, до них — великих.
 

Atec

Мастер
Регистрация
28 Апр 2007
Сообщения
296
Реакции
32
Хочется вставить свои 5 коп в защиту исполнения пхп через eval, в частности во FUSION подобный подход перекладывает защиту модулей в СУБД! а не на файловую систему, и смею заметить по тестам (источник не могу сказать изучал около года назад) FUSION оказался одной из хак-устойчивых систем... т.к. исполнить код модулей можно было только с админправами + спец линком который получить в совокупности с печенькой проблемно, далее в новой версии введена защита доп. паролем который храниться только в СУБД.

Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).
 

admLoki

генератор случайного PHP
Регистрация
14 Сен 2006
Сообщения
481
Реакции
104
Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).
Зависит от того, допущены в проектировке ошибки или нет.
 

almary

Постоялец
Регистрация
1 Апр 2006
Сообщения
93
Реакции
164
NewMen, так может Вы, о Магистр, желаете расписать нам чем диспетчерезация не отвечает Вашим требованиям?

Я так понял, под диспетчеризацией подразумевается full-роутинг система. Т.е. абсолютно все URL проходят через логику роутера.

Тогда получается, что
1. Диспетчер знает реестр своих классов/файлов (или работает по __autoload)
2. Диспетчер знает чего делать можно (все остальное делать нельзя)
3. Может применять списки контроля доступа по операциям
4. Может на продакшне раскидывать ловушки

Ну как-то так... При грамотном проектировании системы анализ уязвимостей в скриптах может очень сильно затруднен, например ловушками... Дискуссия приобретает интересный оборот, кстати ;)

Ну сделал ты роутерную логику, например есть аватары на сайте и фигак, не сделал проверку на расширения и содержание, вот тебе и шелл на сайте и оденешь свою роутерную структуру на одно место, я предложил самый простой способ, .htaccess в папках, где не выполняются скрипты (либо во всех папках, если делать роутерную структуру) с выключенным php движком, на папки куда не загружаются файлы ставим 755 права, также на все исполняемые файлы и шаблоны (если есть шаблонизатор), само эффективно выносить шаблоны и всю исполняемую муть на уровень выше от корневой директории. А по твоим роутерным соображениям бред ИМХО... и не такое ломали и я привел самый простой способ дырки на проекте ;)

Добавлено через 4 минуты
Хочется вставить свои 5 коп в защиту исполнения пхп через eval, в частности во FUSION подобный подход перекладывает защиту модулей в СУБД! а не на файловую систему, и смею заметить по тестам (источник не могу сказать изучал около года назад) FUSION оказался одной из хак-устойчивых систем... т.к. исполнить код модулей можно было только с админправами + спец линком который получить в совокупности с печенькой проблемно, далее в новой версии введена защита доп. паролем который храниться только в СУБД.

Насчет модреврайта, ИМХО он может помочь только в совокупности с диспетчером, но по личному опыту знаю что это утопический пример для больших проектов (сильно тупият подобные системы).

а вот смысл eval вообще не понятен, тупо делаешь нагрузку, делай уж сразу зазенденые срипты, он хотябы сокращает нагрузку, да и раскодить сложнее, хотя дезендер уже есть в паблике.

Мод реврай нагрузку вообще не дает на сервер, если только микросекунды.... просто кривые руки программистов, либо большая посещаемость может сказываться. Крупные проекты должны делаться в совокупности многих дополнительных программ, типа мемкеш, nginx и тд и тп
 

Jeurey

Хранитель порядка
Регистрация
13 Сен 2006
Сообщения
419
Реакции
614
Ну сделал ты роутерную логику, например есть аватары на сайте и фигак, не сделал проверку на расширения и содержание
Т.е. я похож на долбоёба? :D

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [L,QSA]
С этим чо делать?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху