Основные угрозы безопасности сайта

[PavelMSTU]

LukaSafonov, какой смысл вы проследовали, когда писали этот пост?
Неужели вы думаете, что читатели Хабра, работающие в сфере ИБ не знают все это?..

Пометили бы tutorial...

[LukaSafonov]

Как показывает моя практика — не все. Знали бы все — не было такого большого количества взломов.

[LukaSafonov]

Вот в качестве "живого примера" — зайдите на сайт "Компьютерры" — одного из авторитетных айтишных журналов, в котором было множество статей по ИБ. На сайте был установлен редирект на фишинговую страницу сбербанка.

Для тех, кто увидит комментарий позже — приложу скрин:

[rodionovs]

Надо было ставить WAF от Pentestit

[bukhonov_v_yu]

Мне кажется, тут было бы нелишним дать ссылки на существующие списки атак и уязвимостей, тот же WASC и/или OWASP

[LukaSafonov]

Все это можно найти на нашем ресурсе defcon.ru.
Например OWASP на русском.

[isox]

Да, тут на днях когда парсил ресурс XSSed удивился количеству репортов на нем: 31160 штук мы вытащили. Если верить count-у по запросу type:xssed title:Unfixed, то нефикшеных где-то 30125. Ну или не оповестивших о фиксе.
Мне кажется, для владельцев небольших ресурсов просто пока не так очевидна проблема информационной безопасности. Они редко сталкиваются с целевыми атаками, а эффективность "коврового бомбометания" ботов для взлома сводится на нет малейшим кастомом в путях до ресурсов.

[foxmuldercp]

В любом случае надо думать мозгами, а не "а давай сайт заделаем, будем денег рубить!" по принципу "купили самый дешевый хостинг, влепили туда ворпдпресс и забыли — работает же!"
Я как хостмастер нескольких небольших хостинг проектов блокирую от 5 аккаунтов в неделю до очистки пользователями своих проломанных php сайтов от вредоносов.
Cколько блокируют в час крупные хостеры вроде Хостенко, УкрНеймс, Фрихост, с их тысячами сайтов на одном сервере — я себе даже не представляю...

[vladbarcelo]

Дизайн объявления по сливу БД просто 10 Лебедевых из 10.