Как стать автором
Обновить

Web Application Firewall — защита сайта от хакерских атак

Информационная безопасность *


Web Application Firewall— защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня:

  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.

Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей.
Читать дальше →
Рейтинг 0
Просмотры 21K
Комментарии 1

Превентивная защита ваших и не ваших скриптов

PHP *
Наверное не ошибусь если скажу, что очень большая часть мегахакерских_взломов основаны на закачке PHP-скрипта в каталог, доступный для записи в него файлов скриптами (0777, например). Это каталоги для заливки фотографий товаров, аватарок и т.п.

Я еще несколько лет назад «допер» до способа предотвратить на корню подобные вещи. Закачать — может и закачают, а воспользоваться не смогут. Это казалось очевидным все это время, но мало кто это реализовывает. К примеру, только в последнем патче популярного форума SMF была добавлена подобная штука.
Поэтому, для тех, кто не задумывался…

Всё просто. Во все каталоги, доступные для записи, закачиваем (или добавляем строчки к существующему) .htaccess с содержимым:

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Этим самым мы отключаем PHP в данном каталоге и заставляем все скрипты отображаться как HTML.
Это можно сделать просто на всякий случай. Лишним уж точно не будет.
Разумеется, только для Apache. Если кто-то знает как подобное реализовать в IIS — напишите. :)
Всего голосов 132: ↑100 и ↓32 +68
Просмотры 29K
Комментарии 90

Обеспечение безопасности веб-сайтов

Разработка веб-сайтов *
В хелпе Яндекса для веб-мастеров выложили отличнейшую структурированную статью по защите сайтов от разнообразного вида атак и уязвимостей. Там и прозащиту от sql-инъекций, и хороший php код, настройки сервера, кукисы, авторизацию и много другого интересного. Для гуру конечно пшик, но кто же из гуру не был когда то новичком? Да и освежить мозги — никогда не помешает =)

Добрый день!

Чтобы помочь вебмастерам в обеспечении безопасности их веб-сайтов, предлагаем перевод статьи от компании Sophos: help.yandex.ru/webmaster/?id=1071330

Статья написана в конце 2007 г., но все описанные в ней методы активно используются до сих пор. В статье рассматриваются способы компрометации веб-серверов и методы противодействия им. Последовав приведенным рекомендациям, можно существенно снизить риск проведения успешной атаки на веб-сервер. Это позволит вам избежать заражения посетителей вашего сайта, падения трафика с поисковых систем и возможных проблем с индексацией (например, в тех случаях, когда на страницах сайта хакеры размещают скрытый текст с множеством ссылок).

Конечно, в рамках одной статьи невозможно охватить все методы взлома и способы противодействия им, но мы надеемся, что это позволит вебмастерам по-новому взглянуть на проблему и предотвратить появление вредоносного кода на сайте.

С уважением, команда сервиса Яндекс.Вебмастер.
Всего голосов 16: ↑9 и ↓7 +2
Просмотры 21K
Комментарии 7

IBM Rational AppScan даст хакерам достойный отпор

Блог компании IBM
С тестированием приложений всегда трудности. Время, силы, способные это сделать люди — всё превращается в задачи, требующие решения. А особенно тестирование на уязвимость от хакерских атак, потому что не все знают, какими способами пользуются цифровые преступники. Для того, чтобы решить эту проблему, IBM создала Rational AppScan — программу, которая автоматически сканирует веб-приложения на предмет уязвимостей и генерирует отчетность о результатах тестов.
подробности
Всего голосов 23: ↑17 и ↓6 +11
Просмотры 7.2K
Комментарии 18

Ещё 10 уловок для защиты Wordpress'a

WordPress *
Перевод

На сегодняшний день Wordpress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как Wordpress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников.

В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на Wordpress’e ещё более защищённым и позволят спокойнее спать по ночам.
Читать дальше →
Всего голосов 95: ↑84 и ↓11 +73
Просмотры 65K
Комментарии 73

Защита домена — это просто

Блог компании Netfox
На Хабре уже не раз затрагивали тему увода доменов, например здесь или здесь. Было даже видео-пособие, где доходчиво и подробно описывается механизм. Этому можно противостоять.
Читать дальше →
Всего голосов 14: ↑6 и ↓8 -2
Просмотры 6.8K
Комментарии 32

Запрещаем использование известных UserJS

Информационная безопасность *
Из песочницы

Введение


UserJS предоставляет пользователям удобный и простой механизм модификации веб-страниц, именно благодаря этому многие пользователи автоматизирую свои действия с помощью UserJS, а иногда и обходят слабые системы защиты.
Больше всего от использования UserJS пользователями страдают браузерные онлайн-игры, многие из которых уже начали войну против UserJS. Так, например, в игре Travian используются поддельные скрытые веб-формы, которые иногда появляются вместе с обычными, UserJS-скрипты, написанные без учета этой особенности, ошибаются и отправляют данные через фэйковую форму, за что игрок немедленно получает наказание.
Хотелось бы сразу отметить, что бороться можно только с известными UserJS-скриптами, показанное решение не универсально и не может защитить от любого скрипта.
Сегодня я представляю на ваш суд свой метод борьбы с пользовательскими скриптами — MD5-хэширование с последующим сравнением. Основные действующие роли играют JavaScript и PHP.
Читать дальше →
Всего голосов 5: ↑2 и ↓3 -1
Просмотры 1.8K
Комментарии 9

SQL инъекции. Проверка, взлом, защита

Информационная безопасность *
Из песочницы
SQL инъекция — это один из самых доступных способов взлома сайта.
Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно.

Как вычислить уязвимость, позволяющую внедрять SQL инъекции?


Довольно легко. Например, есть тестовый сайт test.ru. На сайте выводится список новостей, с возможностью детального просомтра. Адрес страницы с детальным описанием новости выглядит так: test.ru/?detail=1. Т.е через GET запрос переменная detail передаёт значение 1 (которое является идентификатором записи в табице новостей).
Читать дальше →
Всего голосов 63: ↑29 и ↓34 -5
Просмотры 290K
Комментарии 45

Злые фишинг картинки

Информационная безопасность *
Из песочницы
Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катом
Читать дальше →
Всего голосов 114: ↑96 и ↓18 +78
Просмотры 6.7K
Комментарии 65

ASP.NET MVC 3/4: Противодействие взлому

.NET *ASP *


Не так давно прочитал очередную статью о SQL-инъекциях на хабре, статья была посвящена правда PHP, завязались споры как нужно поступать с данными от пользователя, через какие функции их прогонять, с PHP знаком поверхностно, но общую картину усвоил. Тогда и родилась идея показать как обстоят дела с безопасностью в ASP.NET MVC.

Читать дальше →
Всего голосов 40: ↑36 и ↓4 +32
Просмотры 24K
Комментарии 21

Защита сайта от спамеров и угона аккаунтов

Информационная безопасность *Разработка веб-сайтов *
Из песочницы
imageВ этой статье не будет ничего принципиально нового, однако некоторым будет весьма интересен взгляд со стороны спамера (уже бывшего) со стажем. Идея написать на хабр пришла давно, после прочтения этой статьи, которая только вызвала улыбку. Так уж вышло, что давным-давно, во времена учебы в университете, я искал удаленную работу, поскольку на стипендию трудно выживать, не говоря уже о каких-то развлечениях. Тогда один товарищ пригласил меня в компанию, где работал сам. Работа была простая – оставлять где угодно ссылки на определенные сайты, попутно добавляя к ним какое-то сообщение, т.е. обычный спам. Тут, как понимаете, абсолютно никакая капча, проверка cookies или javascript не спасет ситуацию, поскольку регистрируется настоящий человек с помощью обычного браузера. По поводу автоматических спамилок ситуация похожая, если они разновидности «заскриптованный браузер». Однако есть способы усложнить жизнь спамерам и, если не полностью убрать, то значительно снизить поток спама на свой сайт.

Читать дальше →
Всего голосов 35: ↑27 и ↓8 +19
Просмотры 18K
Комментарии 42

Система безопасности сайтов САНТИ

Блог компании САНТИ Информационная безопасность *Разработка веб-сайтов *
антивирус для сайтов САНТИПривет, Хабр. Этим постом я хотел бы рассказать Вам о своём Open-source проекте web-антивируса для сайтов САНТИ, о том, что уже получилось реализовать и какие планы на будущее. Но главная задача — получить фидбек, который послужит для дальнейшего развития.
Читать дальше →
Всего голосов 26: ↑16 и ↓10 +6
Просмотры 16K
Комментарии 18

Два проекта массового онлайн-сотрудничества

Учебный процесс в IT
На дворе 21 век. По предсказаниям писателей-фантастов 20 века мы должны жить с летающими автомобилями за окном и роботами, которые делают все за нас, а то и вообще уже лететь к другим звездным системам. К сожалению это не так. Но кое-что фантасты предсказать не сумели, точнее не смогли предсказать влияние, которое оказал интернет на общество и цивилизацию в целом. Я не смогу описать влияние интернета на общество, для этого потребуется не одна сотня «хабрапостов», а то и больше, но я выделю интересное для меня направление, а именно краудсорсинг.

Начну я пожалуй с рассказа о проекте CAPTCHA. Этот проект знаком не только специалистам IT, но и каждому пользователю интернета. Он всех раздражает, но без него наша жизнь была бы ужасна. Кол-во спама было бы в разы больше. Но именно такой раздражающий всех проект как CAPTCHA подтолкнул Луиса фон Ана из университета Карнеги — Меллон к созданию проекта reCAPTCHA. Этот проект также нес в себе функцию защиты от ботов. Добавилась одна составляющая, невидимая для обычных пользователей — помощь в оцифровке текстов книг. Теперь при вводе текста с картинки, пользователю предлагается ввести два слова. Первое уже известно системе, а второе слово системе неизвестно и она не способна его распознать программой распознавания текста. Второе слово берется из источника, требующего распознавания (например, книги). Проверка и прохождение «капчи» осуществляется по тому слову, которое известно системе. Неизвестное слово вводить необязательно, так как результат закрепляется на основе статистики, а не ответа одного пользователя, что позволяет выбрать верный вариант. В сентябре 2009 года reCAPTCHA была приобретена компанией Google. А весной 2012 года Google запустил эксперимент по распознаванию изображений из Google Maps и Google Street View с помощью сервиса reCAPTCHA.

Продолжение читайте под катом.
Читать дальше →
Всего голосов 39: ↑20 и ↓19 +1
Просмотры 17K
Комментарии 4

SiteLock – визуальный генератор пароля для сайтов от PHPShop

Блог компании PHPShop Software CMS *Информационная безопасность *
Мы часто сталкиваемся с задачей по созданию дополнительного пароля на сайт и панель управления — это дает большую уверенность в сохранности данных, и, конечно, рекомендуем использовать этот метод всем и почаще. Конечно, есть много способов поставить пароль, но все-таки, все они требуют наличия определенных знаний от клиента. Для облегчения жизни клиентам, мы создали бесплатный визуальный интерфейс генерации паролей — SiteLock, который подходит не только к PHPShop, но и к любым другим CMS. Сгенерированные пароли, в связке .htaccess + .htpassw, сразу копируются на сайт, через встроенный ftp-менеджер.

Описание процесса создания пароля
Всего голосов 16: ↑3 и ↓13 -10
Просмотры 3.8K
Комментарии 4

Защита сайта от сканирования и хаотичных интенсивных запросов

Хостинг
Recovery mode
Из песочницы
image


Хаотичные интенсивные запросы сильно нагружают сервера и транспортные каналы, существенно замедляя работу сайта. С помощью сканирования злоумышленники копируют содержимое сайтов и выявляют слабые стороны в их защите, нанося при этом значительный ущерб. Кроме того, запросы к сайту, производящиеся в процессе сканирования, также отрицательно влияют на производительность. Чаще всего проблема медленной работы сайтов касается крупных порталов с высокой посещаемостью. Но она может коснуться и небольших сайтов, так как даже при малой посещаемости сайт может подвергаться высокой нагрузке. Высокая нагрузка создается различными роботами, постоянно сканирующими сайты. При этом работа сайта может сильно замедлиться, или он вообще может оказаться недоступным.

Сканирование сайта производится программами, сторонними сайтами или вручную. При этом создается большое количество запросов в короткий промежуток времени. Сканирование сайта чаще всего используют для поиска в нем уязвимостей или копирования содержимого сайта.

Достаточно эффективной мерой защиты сайта от сканирования будет разграничение прав доступа к ресурсам сайта. Информацию о структуре сайта поможет скрыть модуль apache mod_rewrite изменяющий ссылки. А сделать неэффективным сканирование ссылок и, одновременно, снизить нагрузку поможет установка временной задержки между частыми запросами исходящими от одного пользователя. Для поддержания эффективной защиты от сканирования и хаотичных интенсивных запросов необходим регулярный аудит вэб-ресурсов.

Хаотичные интенсивные запросы – это случайные или злонамеренные многочисленные запросы в короткий промежуток времени на страницы сайта со стороны пользователей или роботов. К примеру случайных интенсивных запросов относится частое обновление страницы. К злонамеренным многочисленным запросам относится спам на страницы сайта со стороны пользователей или DoS атаки. К хаотичным интенсивным запросам так же относится способ подбора паролей методом перебора. Подобрать пароль можно как вручную, так и при помощи специальных программ. Вручную пароль подбирается лишь в тех случаях, когда известны его возможные варианты. В других случаях используются специальные программы, осуществляющие автоматический подбор пары логина и пароля, т.е. программы для брутфорса.

К эффективным методам защиты сайта от хаотичных интенсивных запросов относятся: установка временной задержки между запросами в определенный промежуток времени, создание черного и белого списков, установка для поисковых систем временной задержки между запросами страниц сайта в файле robots.txt и установка периода обновления страниц в файле sitemap.xml.

Мной был реализован один из методов по защите сайта от сканирования и хаотичных интенсивных запросов, который заключается в подсчете количества запросов в определенный промежуток времени и установке временной задержки при превышении установленного порога. В частности этот метод делает неэффективным или даже бесполезным способ взлома пароля путём перебора, потому что затраченное на перебор время будет слишком велико. Готовый php скрипт под капотом.
Читать дальше →
Всего голосов 35: ↑5 и ↓30 -25
Просмотры 37K
Комментарии 23

Защита сайта от хакерских атак

Информационная безопасность *
Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им.
Читать дальше →
Всего голосов 37: ↑27 и ↓10 +17
Просмотры 33K
Комментарии 19

Защита веб-приложения: практические кейсы

Информационная безопасность *
image


Безопасность веб-приложений находится в первой десятке трендов и угроз информационной безопасности уже свыше 10 лет. Действительно, современные бизнес-процессы и повседневная жизнь — все больше и больше зависит от использования веб-приложений, в разнообразнейших аспектах: от сложных инфраструктурных систем до IoT устройств. Тем не менее специализированных средств защиты веб-приложений довольно мало, по большей части эту задачу возлагают (или надеются что она будет решена) на разработчиков. Это и использование различных фреймворков, средств санации, очистки данных, нормализации и многого другого. Тем не менее, даже с использованием этих средств безопаснее веб не стал, более того, в все уязвимости "классического веба" практически в неизменном виде мигрировали в мобильную разработку. В этой статье будет рассказано не как не допустить уязвимость, а как защитить веб-приложение от ее эксплуатации с использованием Web Application Firewall.

Читать дальше →
Всего голосов 33: ↑26 и ↓7 +19
Просмотры 26K
Комментарии 15

Защита сайта от атак с использованием Nemesida WAF: от сигнатур до искусственного интеллекта

Блог компании Pentestit Информационная безопасность *


В статье будет рассмотрены практики защиты уязвимого веб-приложения — от сигнатурного метода до искусственного интеллекта с использованием Web Application Firewall (коммерческая и Opensource версии). В качестве коммерческого решения мы будем использовать Nemesida WAF, в качестве некоммерческого — NAXSI. Статья содержит общую и техническую информацию по работе WAF, а также сравнение методов обнаружения атак, разбор их особенностей и недостатков.

Детектирование атак


Первая и основная задача любого WAF — максимально точно определить атаку с минимальным количеством ложных срабатываний (false positive). В NAXSI заложен только сигнатурный механизм определения атак (поведенческий анализ находится в начальном состоянии, поэтому мы его считать не будем), в Nemesida WAF — три: сигнатурный, качественный поведенческий анализ и машинное обучение. Говоря о комплексном методе определения атак мы подразумеваем симбиоз этих трех методов. Почему три? Давайте разберемся.

Сигнатурный метод определения атак


Несмотря на стремительное развитие технологий, большая часть атак выявляется сигнатурным методом, и от того, насколько качественно пишутся сигнатуры, зависит точность работы всех методов, построенных на базе сигнатурного анализа (в том числе машинное обучение). Рассмотрим пример определения атаки на веб-приложение сигнатурным методом:

index.php?id=-1'+union+select+1,2,3,4,5+--+1

В данном случае сигнатурой атаки будет вхождение цепочки «union+select».

Пример атаки, которую пропустит NAXSI:

index.php?id=-1'+Union+Select+1,2,3,4,5+--+1
Всего голосов 33: ↑31 и ↓2 +29
Просмотры 8.5K
Комментарии 6

Защищаем MODX Revolution

CMS *Разработка веб-сайтов *MODX *
Из песочницы
MODX Logo

Привет, друзья!


Немало статей написано и переписано о том, как защитить MODX, но в этой статье я опишу не только стандартные рекомендации по защите инстанса MODX Revolution (далее я буду писать просто MODX, потому что ветка MODX Evolution — это тупиковая ветвь «эволюции» являющаяся рудиментом не заслуживающим внимания современных разработчиков), но и некоторые новые методы «заметания следов».
Читать дальше →
Всего голосов 13: ↑8 и ↓5 +3
Просмотры 20K
Комментарии 15

BanMoron — инструмент активной защиты WEB-сервера от взлома

Блог компании Emercoin Хостинг Спам и антиспам Антивирусная защита *Apache *
Recovery mode


Небось снова про блокчейн, только в профиль?

— А вот и не угадали! На этот раз – ничего ни про блокчейн, ни про Emercoin! В конце концов, имеем же мы право делать что-либо помимо основного проекта!


А сделали мы на этот раз утилиту для защиты веб-сервера от вездесущих кульхацкеров, которые постоянно пытаются залить эксплойт в веб-сайт и получить неавторизованный доступ к серверу, чтобы потом прямо на Вашей площадке заниматься всякими непотребствами. Вот об этой утилите под названием BanMoron и пойдёт речь ниже.
Читать дальше →
Всего голосов 12: ↑3 и ↓9 -6
Просмотры 3K
Комментарии 13
1