безопасность моего проекта
TRANSCRIPT
Спим спокойно!
Понеділок, 13 червня 2011 р.
Отнеситесь к этому серьезно
Что следует понять в первую очередь....
Не стоит думать, что это не про Вас
Первейшая уязвимость – Вы сами
Если Вас не взламывали, значит до Вас еще не дошли руки.
Молитесь!
Понеділок, 13 червня 2011 р.
• Каждую секунду в мире происходит...
• ... на самом деле, никто не ведет статистику, сколько сотен взломов происходит каждую секунду!
Понеділок, 13 червня 2011 р.
• Футбольный клуб ЗенитВы их знаете...
• Сайт Sony PlayStation
• maranatha.org.ua
• stanem.ru
• hopechannel.info
• facebook, livejournal, twitter....
Понеділок, 13 червня 2011 р.
Пример взлома через SQL Injection
Понеділок, 13 червня 2011 р.
Не ленитесь придумать сложный пароль (более 12 символов, буквы (регистр) + цифры + символы): GhfcnjQGfhjkm9786!
Не давайте пароль никому, никогда.
Не используйте «текстовые» протоколы: ftp, pop3, icq (дальше – подробнее)
Используйте антивирусы, брендмауеры
Устанавливайте регулярные обновления системы
Не запускайте необычных программ (вложения в почту, закачки с неизвестных сайтов и тп)
Понеділок, 13 червня 2011 р.
«Взлом» админа (пользователя админ-части)
Воровство паролей «на пути» к серверу
Взлом с помощью уязвимостей скриптов
Взлом с помощью уязвимости ОС
Атаки серверов на отказ
Понеділок, 13 червня 2011 р.
Взлом через уязвимость CMS
Понеділок, 13 червня 2011 р.
Бесплатный хостинг не может гарантировать безопасность проекта.
Органы Вашего сайта – Apache, PHP, MySQL, phpBB, Invision Board – постоянно совершенствуются и требуют обновления.
Минимизируйте или не используйте совсем опен-сорс разработки.
На ненадежном хостинге возможен взлом Вашего сайта через другие сайты.
Понеділок, 13 червня 2011 р.
Взлом через уязвимость в PHP-коде
Понеділок, 13 червня 2011 р.
Что такое sniffing?
Plain-text протоколы не могут быть безопасными по определению
Альтернативы:
FTP -> SFTP/FTPS
POP3 -> SSL
Понеділок, 13 червня 2011 р.
• Резервное копирование - ежедневно!
Понеділок, 13 червня 2011 р.
Взлом через сниффер
Понеділок, 13 червня 2011 р.
Почтовые фильтры – да!
Не публиковать емейл на сайте. Даже картинкой.
Используйте сложные формы защиты везде, где идет публикация сообщений пользователем.
Используйте сложные формы защиты везде, где идет регистрация.
Понеділок, 13 червня 2011 р.
Никому и никогда не давайте пароль
Не храните в открытом виде пароли
Регулярно делайте резервные копии
Не используйте plain-text протоколов
Регулярно обновляйте опен-сорс приложения
Периодически проводите аудиты своего сайта
Понеділок, 13 червня 2011 р.
Ура – Ваш сайт кого-то всерьез заинтересовал. Без паники.
Проанализируйте ситуацию, выясните причину
Устраните инструменты взлома и причину
Восстановите данные из резервной копии
Смените пароли (их могли украсть)
Если известен адрес нарушителя – пожалуйтесь администрации его системы. Взломы уголовно наказуемы.
Понеділок, 13 червня 2011 р.
Отнеситесь к этому серьезно
Не стоит думать, что это не про Вас
Первейшая уязвимость – Вы сами
Если Вас не взламывали, значит просто не пробовали.
Молитесь и бодрствуйте!
Понеділок, 13 червня 2011 р.