Обеспечение безопасности веб-сайтов

    В хелпе Яндекса для веб-мастеров выложили отличнейшую структурированную статью по защите сайтов от разнообразного вида атак и уязвимостей. Там и прозащиту от sql-инъекций, и хороший php код, настройки сервера, кукисы, авторизацию и много другого интересного. Для гуру конечно пшик, но кто же из гуру не был когда то новичком? Да и освежить мозги — никогда не помешает =)

    Добрый день!

    Чтобы помочь вебмастерам в обеспечении безопасности их веб-сайтов, предлагаем перевод статьи от компании Sophos: help.yandex.ru/webmaster/?id=1071330

    Статья написана в конце 2007 г., но все описанные в ней методы активно используются до сих пор. В статье рассматриваются способы компрометации веб-серверов и методы противодействия им. Последовав приведенным рекомендациям, можно существенно снизить риск проведения успешной атаки на веб-сервер. Это позволит вам избежать заражения посетителей вашего сайта, падения трафика с поисковых систем и возможных проблем с индексацией (например, в тех случаях, когда на страницах сайта хакеры размещают скрытый текст с множеством ссылок).

    Конечно, в рамках одной статьи невозможно охватить все методы взлома и способы противодействия им, но мы надеемся, что это позволит вебмастерам по-новому взглянуть на проблему и предотвратить появление вредоносного кода на сайте.

    С уважением, команда сервиса Яндекс.Вебмастер.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 7

      0
      я бы поспорил с ними на счет своевременной установки обновлений на систему. я бы уточнил что лучше своевременно ставить обновления безопасности, но не всего софта. новое не значит лучшее.

      > что обычный файл cookie сохраняется на компьютере пользователя и остается на нем до момента удаления пользователем
      а мне казалось старые куки браузеры удаляют сами, а не пользователи

        0
        Ну в куках можно задавать срок их жизни. Разработчики ставят или оставляют по умолчанию время их жизни сами. Например самый распространенный способ «постоянной» авторизации пользователя на сайте — поставить куку со сроком жизни, скажем, до 2386 года какого нибудь и по ней ловить пользователя =) Такая кука остается «навсегда», если только в настойках браузера не стоит какая нибудь галочка типа «удалять куки через...», вроде так =)
        +2
        Почему-то каждая статья о sql-инъекциях имеет пример с mysql_query и возможностью выполнить в нем два запроса, типа SELECT * FROM users WHERE first_name=''; DROP TABLE users; Фантазеры, блин.
          0
          Статью ну никак невозможно назвать отличной, т.к. она поверхностна, содержит ляпы и основана на старых материалах.
            0
            Не вижу подтверждения в виде ссылки на не поверхностную, без ляпов и по современным материалам, м?
            0
            А почему подтверждение должно выражаться в ссылке? Займитесь серьезней информационной безопасностью, читайте материалы описывающие конкретные уязвимости и способы их эксплуатации, полистайте security advisory и так далее.
            Почему-то у современных программистов странное представление об информационной безопасности. Одни думают, что это их не касается; другие считают, что они прочтут статью с какого-нибудь именитого источника и они смогут обезопасить свои творения.
              0
              В общем, советы по защите те же, только теперь вам стоит немного потратиться на человека, который за деньги проверит ваш сайт на наличие уязвимостей и сообщит вам результаты.

              Хочу предложить Вам в помощь сайт для проверки защиты вашего ресурса — по сути фриланс биржа для людей обладающих умением взлома. От вас требуется разместить проект, указать тип уязвимости и бюджет. Дальше просто — ждать предложения выполнить проект от экспертов взлома. Проект молодой и ждёт своих клиентов!

              hackmysite.ru/

              Only users with full accounts can post comments. Log in, please.