Извечная тема меча и щита всегда была актуальна. На всякий мечь находился прочный щит, а на всякий щит находился ловкий противник. Но в отношении безопасности сайта, его владелец находится не в выгодном положении. Так как имеет возможность использовать только щит. Именно о способах защиты и пойдет речь ниже.
Как правило знания о слабом месте, дают возможность придумать способ его защиты. А для противника знание слабого места, фактически означает победу.
В поисках уязвимостей хакеры (крекеры) как правило используют программы. Эти программы сканируют порты, подбирают входные параметры, собирают информацию о построении файловой системы и т.д. Зачастую такого сканирования вполне достаточно, что бы взломать сайт. Если это не получилось, направление взлома принимает более серьезный характер. Производятся попытки взломать хостинг, или использовать уязвимости PHP, phpMyAdmin, Apache, которые хакер обнаружил или узнал предварительно. Описание защиты от таких уязвимостей выходит за рамки этой статьи. И относится к разработчикам PHP, phpMyAdmin, Apache и к владельцам хостингов.
Статья носит рекламный характер, и речь в ней пойдет о сканере уязвимостей find-xss.net. Данный сканер ищет уязвимости в PHP коде. К таким уязвимостям в первую очередь относятся XSS и SQL injection.
Способ использования сканера крайне прост. Достаточно просто загрузить ZIP архив сайта и дождаться результатов сканирования. Занимает это 2-3 минуты, при размере архива 5мб, и скорости интернета 2.5мб. В результате вы получите отчет сканирования, разбитый по категориям: XSS и SQL injection. В отчете будут отображены не безопасные строки кода. Для каждой строки будет указан файл в котором найдена уязвимость, и ее номер. По сути, останется только внести изменения в код, для устранения уязвимостей. Обычно для исправления кода используются функции: floatval (), intval (), addslashes, htmlentities и т.д.
Если вы используете CMS и плагины сторонних разработчиков, с открытым кодом, то обязательно потратьте 3 минуты на проверку вашего сайта. Если ваш сайт написан профессионалами в веб-студии, или на известной CMS, проверьте его также, что вы теряете? Если уязвимостей не найдется, то вы сможете спать спокойней. А если они есть, то вы сможете их исправить. Сканер это самый простой и доступный способ защиты от взлома.
Для обеспечения безопасности хороши все способы, особенно если они своевременны и эффективны.
Виталий, разработчик.
