Ко мне часто обращаются с просьбой посмотреть или протестировать сайт на безопасность. Я бы не против помочь с этим, но просто не в состоянии. Запросы такие идут с завидной постоянностью, но если я буду пытаться нормально тестировать хотя бы половину сайтов, я буду только это и делать. Блин, если бы за книги хорошо платили (а для этого нужно чтобы их хорошо покупали), то я наверно и сделал бы основной работой тестирование сайтов, а потом просто описывал это.
За часок проанализировать сайт основательно просто нереально. Проще взять специализированную программу, которая тестирует на безопасность, и прогнать сайт с ее помощью. Я сам так часто делаю :), да и многие так делают.
Недавно сайт моего клиента тестировали ребята из компании, которая принадлежит McAfee и занимается как раз тестированием безопасности. Так они три дня гоняли сайт различными программами тестирования безопасности, и только после этого перешли на ручные тесты. Они имели сайт вдоль и поперек автоматическими тестами. Хочешь протестировать на безопасность, то заведи себе кучу подобных программ.
Я отстал уже от мира автоматических тестов, потому что никогда особо хакером не был и не собирался быть. Я изучал безопасность только для того, чтобы уметь защищаться, потому что я больше предпочитаю быть на стороне защищающихся баррикад. Это интереснее и это вызов защищать информацию в открытом мире.
ЗюЫю Мне кажется, что если на спине прыщи, то это уже общая проблема, не зависящая от возраста. Хотя у моего знакомого такая проблема с возрастом прошла.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
А можете навести пример действительно хороших програм для тестов?
Еще бы узнать как эта спец программа называется
Я отстал от автоматических тестов и не знаю, что сейчас народ использует.
Михаил, скажите от чего зависит безопасность сайта? Виноват веб-программист, или например php интерпретатор?
Виноваты бывают разные люди. Бывают программисты сайта, бывает разработчики PHP, бывают виноваты админы. Разные ошибки бывают.
А бывают полные придурки,которые умудряются дать ответ на секретный вопрос к своей почте на которой держится cms сайта(или сам дистрибутив),в своем блоге...
Кстати,в теории...если аутентифицироватся в cms'е и стыздить оттуда весь исходный код к себе на сервер,то можно получается дефейсить сайт до тех пор пока они не перейдут на другую систему управления? :\
Виноват целиком и полностью тот кто использует уязвимость, и я рад что мир по тихоньку приходит к этому пониманию - в сша как раз собираются прировнять взлом сайта к массовому убийству и добавить мер которые позволят использовать для пойманных взломщиков сайтов смертную казнь почти незамедлительно после их поимки.
to Илья: Это вряд лию
У меня сайтик на Joomla 1.6. Я по совету автора какой книги кладу по ftp в папку administrator файл htaccess (если не ошибаюсь) с каким то там содержанием. В результате форма для входа в админку не выводится. Не знаю насколько это эффективно для защиты. Я ограничиваюсь только этим. А вообще если нужно взломать какой то сайт не проще ли сделать это через службу поддержки этого хоста? Подкупить, например, сотрудника. Уж они то наверно имеют доступ ко всем паролям.
Сергею.Звонить тогда надо будет не в службу поддержки хоста,а cms'a имхо дешевле выйдет))
А вот про файл htaccess не особо знаком,но как я понял там могут быть только 2 варианта:
При попытке перейти в админку выдает 403 Forbidden или же перенаправляет на главную страницу.
А вообще,по-моему безопаснее всего редактировать содержимое сайта только через фтп сервер...
Не знаю,100% или нет,но у той же жумлы инфа хранится на фтп сервере...по крайне мере авторизоваться там можно.
Михаилу Фленову
А нет ли у вас случайно лишнего сайтика, так сказать "на съедение"?)))
В комментариях кто-то прислал интересную ссылку на фотку Библии Delphi, а я ее случайно удалил. Комментарий уже не восстановить, но фотку показываю:
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
